Sandro Fontana wrote:
Cerco di rispondere a Stefano Zanero (che speravo di incontrare al
convegno IEEE a Milano- sara' per la prox),
Quando ho visto il nome sul registro m'e' venuto un coccolone :)
Il cuore della tua riflessione e':
anche in relazione alle conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del trattamento,
in modo da ridurre al minimo, [...] i rischi di distruzione o perdita, anche
accidentale, dei dati stessi,di accesso non autorizzato o di trattamento
non consentito o non conforme alle finalità della raccolta.
E fino a qui si tratta di buoni sentimenti... :-) Infatti nessuno ha
detto che tu non possa, SE ti viene cagionato un danno, rivalerti su
quel titolare.
Se la legge sulla privacy (permettetemi di chiamarla brevemente cosi')
non e' sufficiente per indirizzare chi tratta dati personali e sensibili
(come fa la banca, quando mantiene traccia di chi e cosa pago)
Sono dati personali: in generale direi che e' molto dubbio che siano
sensibili.
Vorrei, anzi, che persone con la tua credibilita' sul campo,
dicano la loro su questo tipo di atteggiamento che --spero tu sia
d'accordo con me-- e' assolutamente deleterio e da condannare.
Non sono un fan della regolamentazione in termini di sicurezza.
Francamente non penso che un intervento del Garante possa aiutare.
Se devo dire la verita', un PIN di 5 cifre mi fa un po' senso, ma per
una funzionalita' puramente di interrogazione si puo' discutere se sia
sufficiente o no. Io direi di no. Tu diresti di no. Ma non e' una cosa
cosi' "clear cut" da spingere il Garante ad un intervento.
In tutto cio', mi sembra comunque che l'Art. 31 chieda di ridurre al
minimo i rischi di accesso non autorizzato.
Relativamente al tipo di dati a cui si da accesso. L'accesso ad un
singolo record di dati non sensibili in pura lettura puo' essere
valutato "non grave". Ripeto, non dico che io sia d'accordo con la
valutazione, ma non mi pare cosi' drammatica come la dipingi. In fondo
e' il tuo conto corrente, quindi m'importa poco (scherzo :)
nell'Art.32 dice che "il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico
La banca non e' un fornitore di un servizio di comunicazione elettronica.
Ora, che una password di accesso ad un sistema on-line o meno debba
essere di lunghezza minima 8 caratteri
Io non sono d'accordo. Se il sistema e' un sistema puramente informativo
con dati poco rilevanti, per quanto mi riguarda un pin di 4 cifre
numeriche puo' anche bastare. Dipende da cosa devi proteggere :)
Certo, se l'ambito di accesso fosse esclusivamente "tre tentativi + blocco",
l'accesso al mio conto lo reputerei sicuro anche io.
Ma non credo sia questo il metodo usato da chi tenta di accedere ai sistemi.
No, infatti di solito violano l'applicazione con uno degli innumerevoli
bachi che avra', e delle password se ne strafregano :)
Mi spiego: tu ipotizzi uno scenario di cracking offline. Io direi che se
qualcuno arriva al db delle password, ha gia' violato il sistema di
autenticazione della WA, quindi ormai delle password non se ne fa nulla.
State proprio guardando tutti quanti la minaccia sbagliata :)
Forse mi sto sbagliando, ma perche' nella progettazione di un sistema,
da anni si usano card/token OTP, credenziali X.509, passphrase
(e non password) da decine di caratteri alfanumerici/speciali e negli ultimi
anni si stanno diffondendo le smart card crittografiche
Assi' ? In che nazione vivi ? Io sono circondato da password di 6
caratteri... :p
Inoltre mi permetto di dubitare che ci siano ancora sistemi che
permettano di avere, in modo nativo, un meccanismo di accesso via password
di soli 5 caratteri numerici
Pardon ? Una select SQL su un DB di back end la puoi progettare come
vuoi... non capisco che vuoi dire.
- l'archivio/DB delle password sara' protetto in modo adeguato?
Ora parli la mia lingua... ma leggi sopra.
- le password saranno crittografate (stile crypt)?
- useranno seed ?
- da quanti bit ?
Ma chi se ne importa se son criptati, tanto sono banali numeri di 5 cifre
questo Ufficio ravvisa l'opportunita' di incrementare il livello di sicurezza
e rivolge un invito a estendere la lunghezza della parola chiave a otto cifre
E quindi il Garante ti ha pure dato ragione :)
--
Cordiali saluti,
Stefano Zanero
Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: [EMAIL PROTECTED]
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
