Re: autenticazione ldaps
Mandi! Paride Desimone In chel di` si favelave... > Qualcuno per caso conosce opensuse e sa come poter farem o ha > suggerimenti? ...non conosco OpenSUSE, ma non credo che ci sia molta differenza; al di la dei diversi modi di configurare le cose le cose da fare sono sempre quelle: installare i moduli LDAP per PAM e NSS (ed eventuali servizia contorno, come nslcd se necessario), configurre PAM, configurare nsswitch.conf. -- Con Windows sei in vacanza: ti diverti senza pensare a ciò che fai, ma dopo un po' finisce. In Linux entri nella vita reale: Devi tirar fuori le palle!(Alain Modolo)
Re: autenticazione ldaps
Il 30-01-2024 14:11 Paride Desimone ha scritto: Buongiorno. Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è possibile perché mancano dei pacchetti inquanto non c'è un mantainer). Seguendo i Vs suggerimenti sono riuscito a tirar su il server ed un client con ubuntu, che mi crea automaticamente la home directory dell'utente ldap al primo collegamento. Ora sto provando a configurare un client con opensuse, ma non si riesce a venire a capo della cosa. Qualcuno per caso conosce opensuse e sa come poter farem o ha suggerimenti? /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
R: autenticazione ldaps
> Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never > mi dava problemi. Anche a me è successo questo tipo di problema tempo fa e ricordo di aver fatto questo: la modalità corretta con Debian per aggiungere una CA al "Truststore" (cioè al file ca-certificates.crt dentro /etc/ssl/certs) è la seguente: Da utente con permessi di root, si mette il file del certificato pubblico della CA nella directory /usr/local/share/ca-certificates Il file deve essere in formato BASE64 e con estensione .crt Poi si lancia il comando update-ca-certificates in questo modo il certificato in questione verrà aggiunto al truststore completo. Ciao
Re: autenticazione ldaps
Mandi! Paride Desimone In chel di` si favelave... > Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never > mi dava problemi. Come hai copiato la CA? -- Stanno arrivando da lontano con il futuro nella mano sotto la pioggia (A. Venditti)
Re: autenticazione ldaps
Il 05/02/2024 07:55, Paride Desimone ha scritto: Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato generato il certificato di slapd. Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi. Brutto segno, vuol dire che c'è qualcosa che non va col certificato. Può essere un problema che aspetta solo di esploderti in faccia in futuro, facendoti poi perdere settimane a cercare la soluzione nel posto sbagliato... -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: autenticazione ldaps
Il 2 febbraio 2024 12:21:59 UTC, Marco Gaiarin ha scritto: >Mandi! Piviul > In chel di` si favelave... >Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la >verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato >generato il certificato di slapd. Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi. /paride -- Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.
Re: autenticazione ldaps
Il 02/02/2024 13:21, Marco Gaiarin ha scritto: Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato generato il certificato di slapd. La seconda soluzione è *nettamente* più sicura. La prima rende inutile lavorare in ldaps e tanto varrebbe usare ldap in chiaro (un attaccante può fare MITM col solo sforzo extra di generarsi un certificato autofirmato...). -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: autenticazione ldaps
Mandi! Piviul In chel di` si favelave... > Ricordo che in passato avevo avuto un problema similare e il problema > era dovuto al fatto che il certificato del server era autofirmato. Non > ricordo bene cosa abbia fatto ma credo solo di avere inserito in > /etc/ldap/ldap.conf del client TLS_REQCERT never Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato generato il certificato di slapd. -- Poor people gonna rise up and get their share poor people gonna rise up and take what's theirs (T. Chapman)
Re: autenticazione ldaps
Il 30-01-2024 14:49 Piviul ha scritto: Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never Si, è questo. Il problema consisteva nel certificato auto firmato, il quale era indigesto al client. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: autenticazione ldaps
Il 30-01-2024 15:03 Diego Zuccato ha scritto: Il 30/01/2024 15:49, Piviul ha scritto: Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never In questo caso, una soluzione più sicura sarebbe di aggiungere il certificato autofirmato a quelli accettati da ldap. Con ldaps "raw" non ricordo come si fa, con sssd è solo questione di includere la riga ldap_tls_cacert nella config del dominio. Provo a guardarci. e vi aggiorno. Diego PS: pare che da autistici.org ci siano problemi con DMARC... Ho ricevuto avviso di bounce per la mail di Paride. Uhm, manderò una mail all'assistenza. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: autenticazione ldaps
Il 30/01/2024 15:49, Piviul ha scritto: Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never In questo caso, una soluzione più sicura sarebbe di aggiungere il certificato autofirmato a quelli accettati da ldap. Con ldaps "raw" non ricordo come si fa, con sssd è solo questione di includere la riga ldap_tls_cacert nella config del dominio. Diego PS: pare che da autistici.org ci siano problemi con DMARC... Ho ricevuto avviso di bounce per la mail di Paride. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: autenticazione ldaps
On 1/30/24 15:11, Paride Desimone wrote: Buongiorno. Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è possibile perché mancano dei pacchetti inquanto non c'è un mantainer). Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok, stessa storia da un client (ovviamente non ldapi). Ora però ho un problema. Se certo di autenticarmi da un client con un utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio con ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire a comunicare con il server ldap. Qualcuno ha idea su dove poter guardare? Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never Piviul
autenticazione ldaps
Buongiorno. Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è possibile perché mancano dei pacchetti inquanto non c'è un mantainer). Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok, stessa storia da un client (ovviamente non ldapi). Ora però ho un problema. Se certo di autenticarmi da un client con un utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio con ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire a comunicare con il server ldap. Qualcuno ha idea su dove poter guardare? /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: Autenticazione mate biometrica con lettore d'impronta
Mandi! Paride Desimone In chel di` si favelave... > qualcuno sa se sia possibile loggarsi su Mate direttamente con il > lettore di impronta? Attualmente mi loggo con password e quando blocco > lo schermo sono in grado di sbloccarlo con il lettore di impronta, ma io > vorrei poter effettuare direttamente il primo login solo con l'impronta > digitale. ...credo si tratti solo di configurare i moduli PAM sottostanti... anche se forse la password è usata anche per sblocare il keyring, e quindi c'è qualche vincolo. Lo so, stavo prima a rispondere: non so. ;) -- Il computer è come la morosa: meno ci mettono mano gli altri e meglio è! ;-) (Enrico)
Re: Autenticazione mate biometrica con lettore d'impronta
Il 30-07-2023 09:23 Davide Prina ha scritto: Paride Desimone ha scritto: vorrei poter effettuare direttamente il primo login solo con l'impronta digitale. non me ne intendo, ma: 1) è stato dimostrato che è possibile bypassare questo tipo di autenticazione tramite attacco brute force sul dispositivo stesso e dato che il riconoscimento dell'impronta è fatta su un numero di caratteristiche limitato il tempo per avere successo è abbastanza breve: in media pochi minuti 2) recuperare un'impronta del proprietario di un dispositivo avendo a disposizione il dispositivo è veramente facile... il dispositivo è pieno di impronte del proprietario! Ottenuta l'impronta è veramente facile riprodurla con una stampante 3D Avendo a disposizione il dispositivo, i problemi vanno ben oltre l'impronta. Ad ogni modo, a beneficio futuro degli spider che indicizzano, una volta configurato il lettore di impronte, mate permette automaticamente il login con user name e impronta digitale. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: Autenticazione mate biometrica con lettore d'impronta
Paride Desimone ha scritto: > vorrei poter effettuare direttamente il primo login solo con l'impronta > digitale. non me ne intendo, ma: 1) è stato dimostrato che è possibile bypassare questo tipo di autenticazione tramite attacco brute force sul dispositivo stesso e dato che il riconoscimento dell'impronta è fatta su un numero di caratteristiche limitato il tempo per avere successo è abbastanza breve: in media pochi minuti 2) recuperare un'impronta del proprietario di un dispositivo avendo a disposizione il dispositivo è veramente facile... il dispositivo è pieno di impronte del proprietario! Ottenuta l'impronta è veramente facile riprodurla con una stampante 3D 3) altri metodi di sblocco del dispositivo (che sia un PC o un'auto) che si basano sulla vicinanza del telefonino o altro è altrettanto pericoloso poiché è possibile riuscire a sfruttare questa funzionalità per poter attaccare con successo... Il problema è che tutte queste "facilitazioni" stanno ampliando la profilazione in banche dati "non autorizzate" delle persone anche con questi dati che poi sono messe in vendita sul "mercato nero". Leggevo che un profilo completo di una persona costa più di 100-200$ Detto questo: se sei in un ambiente sicuro puoi evitare che vi sia il blocco del PC con richiesta di password. Altrimenti la cosa più sicura è mettere la password... questo è quello che penso io. Ciao Davide -- La mia privacy non è affar tuo https://noyb.eu/it - You do not have my permission to use this email to train an AI -
Autenticazione mate biometrica con lettore d'impronta
Buongiorno, qualcuno sa se sia possibile loggarsi su Mate direttamente con il lettore di impronta? Attualmente mi loggo con password e quando blocco lo schermo sono in grado di sbloccarlo con il lettore di impronta, ma io vorrei poter effettuare direttamente il primo login solo con l'impronta digitale. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
R: Debian e autenticazione esterna
Cari tutti, come promesso ecco i risultati (positivi) riguardo l'oggetto. La mia esigenza era far accedere determinati soggetti ai server linux usando l'autenticazione centralizzata su Active Directory Microsoft. Come suggerito da Marco, ho installato il pacchetto libpam-krb5 apt install libpam-krb5 Ho poi configurato il file /etc/krb5.conf con i dati necessari. Ma non ho attivato su pam-auth-update la creazione automatica della home dir, perché a me interessava autorizzare solo determinati soggetti. In questa situazione, se un utente si presenta al login in console, l'autenticazione ha successo, ma non ottiene la shell perché non ha l'utente registrato nel S.O. del server, per cui si ritrova nuovamente alla schermata di login. Via SSH, non viene data autorizzazione al login. Ma a questo punto se da root faccio adduser --disabled-login aggiungo le informazioni gecos e l'utente può fare login su console e ssh con la password di AD. L'utente viene inserito su /etc/passwd con una shell e su /etc/shadow con il ! al posto della password, e può fare login con l'autenticazione esterna. E' proprio quello che mi serviva. Grazie per l'aiuto. Ciao da Lorenzo -Messaggio originale- Da: Marco Gaiarin Inviato: martedì 15 febbraio 2022 22:31 A: MAURIZI Lorenzo Cc: debian-italian@lists.debian.org Oggetto: Re: Debian e autenticazione esterna Mandi! MAURIZI Lorenzo In chel di` si favelave... > mi rivolgo alla lista per trovare una soluzione al seguente quesito: > è possibile autenticare gli utenti di un server Debian utilizzando Active > Directory ma senza fare il join del server linux al dominio? Se sì, come? Se non ti interessano gruppi e relative membership: apt-get install pam-krb5 inserisci il realm, quindi dai: pam-auth-update ed abiliti pam_mkhomedir. Fatta. -- Non può sentirsi degno di essere italiano chi non vota SI al referendum (Silvio Berlusconi, 21 giugno 2006)
Re: Debian e autenticazione esterna
Ciao Lorenzo. Confermo che per la sola autenticazione Kerberos non è necessario che la macchina sia in dominio. E' il bello di usare kerberos :) Il 16/02/2022 09:47, MAURIZI Lorenzo ha scritto: Mi aggancio alla risposta di Marco per ringraziare lui e Diego per l'aiuto prestato. Stavo cercando di studiare il workflow di autenticazione di Kerberos per capire se è mandatorio avere la macchina a dominio per essere "trustata", ma da quello che vedo dalla soluzione proposta da Marco, non serve. Provo ad applicare questa soluzione e vi farò sapere gli esiti. Saluti da Lorenzo -Messaggio originale- Da: Marco Gaiarin Inviato: martedì 15 febbraio 2022 22:31 A: MAURIZI Lorenzo Cc: debian-italian@lists.debian.org Oggetto: Re: Debian e autenticazione esterna Mandi! MAURIZI Lorenzo In chel di` si favelave... mi rivolgo alla lista per trovare una soluzione al seguente quesito: è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come? Se non ti interessano gruppi e relative membership: apt-get install pam-krb5 inserisci il realm, quindi dai: pam-auth-update ed abiliti pam_mkhomedir. Fatta. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
R: Debian e autenticazione esterna
Mi aggancio alla risposta di Marco per ringraziare lui e Diego per l'aiuto prestato. Stavo cercando di studiare il workflow di autenticazione di Kerberos per capire se è mandatorio avere la macchina a dominio per essere "trustata", ma da quello che vedo dalla soluzione proposta da Marco, non serve. Provo ad applicare questa soluzione e vi farò sapere gli esiti. Saluti da Lorenzo -Messaggio originale- Da: Marco Gaiarin Inviato: martedì 15 febbraio 2022 22:31 A: MAURIZI Lorenzo Cc: debian-italian@lists.debian.org Oggetto: Re: Debian e autenticazione esterna Mandi! MAURIZI Lorenzo In chel di` si favelave... > mi rivolgo alla lista per trovare una soluzione al seguente quesito: > è possibile autenticare gli utenti di un server Debian utilizzando Active > Directory ma senza fare il join del server linux al dominio? Se sì, come? Se non ti interessano gruppi e relative membership: apt-get install pam-krb5 inserisci il realm, quindi dai: pam-auth-update ed abiliti pam_mkhomedir. Fatta. -- Non può sentirsi degno di essere italiano chi non vota SI al referendum (Silvio Berlusconi, 21 giugno 2006)
Re: Debian e autenticazione esterna
Mandi! MAURIZI Lorenzo In chel di` si favelave... > mi rivolgo alla lista per trovare una soluzione al seguente quesito: > è possibile autenticare gli utenti di un server Debian utilizzando Active > Directory ma senza fare il join del server linux al dominio? Se sì, come? Se non ti interessano gruppi e relative membership: apt-get install pam-krb5 inserisci il realm, quindi dai: pam-auth-update ed abiliti pam_mkhomedir. Fatta. -- Non può sentirsi degno di essere italiano chi non vota SI al referendum (Silvio Berlusconi, 21 giugno 2006)
Re: Debian e autenticazione esterna
Ciao Lorenzo. AD è grosso modo Kerberos + LDAP + DNS. Quindi se riesci a configurare l'autenticazione tramite Kerberos sei a posto per quel che riguarda la verifica della password. Ma non so come si comporti con la pre-creazione dell'utente in locale. Magari, se imposti che Kerberos venga interrogato prima dei file locali può funzionare. Il 15/02/2022 09:32, MAURIZI Lorenzo ha scritto: Ciao a tutti, mi rivolgo alla lista per trovare una soluzione al seguente quesito: è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come? Il desiderata è che l’utente venga creato manualmente e collegato ad una autenticazione esterna, in modo da poter avere una password unica che viene gestita da AD nelle sue scadenze. Grazie in anticipo per ogni consiglio saprete darmi. Saluti da Lorenzo -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Debian e autenticazione esterna
Ciao a tutti, mi rivolgo alla lista per trovare una soluzione al seguente quesito: è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come? Il desiderata è che l'utente venga creato manualmente e collegato ad una autenticazione esterna, in modo da poter avere una password unica che viene gestita da AD nelle sue scadenze. Grazie in anticipo per ogni consiglio saprete darmi. Saluti da Lorenzo
Re: [OT] internet banking e autenticazione biometrica
On Wed, Nov 10, 2021 at 09:11:21PM +0100, Davide Prina wrote: Ciao! [...] > > > Infine i dati biometrici sono rubati senza neanche troppa difficolta': > > > > https://www.schneier.com/blog/archives/2015/10/stealing_finger.html > > questo molto probabilmente lo avevo letto, ma me ne ero dimenticato. Anche io; ricordavo solo vagamente la vicenda. :) [...] > Comunque, dal mio punto di vista, se si iniziano a richiedere dati > biometrici per l'autenticazione [...] Non posso che concordare con quello che hai scritto! Ciao! C.
Re: [OT] internet banking e autenticazione biometrica
Il 10/11/21 20:40, Davide Prina ha scritto: a me hanno detto che le chiavette per l'accesso alla banca sono state tolte perché non sicure. Alcune banche ora forniscono chiavette dette smart (hanno un tastierino e non un singolo bottone). Mi hanno detto inoltre che il problema principale è che l'utente o chi può accedere alla chiavetta (attaccante) può generare a piacere tanti token. In realtà tutto è dipeso da direttive europee che hanno stabilito che il codice generato dai dispositivi OTP doveva essere legato alla singola operazione e non doveva poter essere usato per autorizzarne un'altra. Con la chiavetta, se intercetto il codice generato prima che l'utente lo usi, lo posso utilizzare per autorizzare un bonifico a mio favore con l'interno ammontare del conto. Con il nuovo sistema di generazione del codice, se provo ad utilizzarlo per un'altra operazione, questa non viene autorizzata. Questo ha portato al massiccio passaggio all'uso di app, meno costose dei dispositivi fisici e più facili da usare, con tutte le conseguenze del caso. Mandi. Paolo
Re: [OT] internet banking e autenticazione biometrica
Il 10/11/2021 20:52, Davide Prina ha scritto: https://taler.net/en/ tutte le transazioni devono passare dall'exchange, che può quindi de-anonimizzare quanto gli pare no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa ha firmato né a chi l'ha firmato. Ah, ok. Non avevo visto. Allora vale la pena di approfondire. In effetti mi pareva strano... :) Avrebbe senso se il "contante" anonimo potessi "spenderlo" verso altri utenti, anche offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con una carta NFC senza estrarla dal portafogli. no, l'anonimato non è assoluto. Se uno stato vuole investigare può sapere cosa hai speso e cosa hai comprato... o meglio i passaggi di denaro da un individuo ad un altro.Come ho detto, merita approfodimento. Poi bisognerà vedere se il bar sotto casa l'accetterà... :) Purtroppo l'adozione rischia di essere lo scoglio sul quale si infrangono bei progetti: se un sistema (soprattutto di pagamento) non si integra bene nel workflow dell'utente (p.e. interfacciandosi al registratore di cassa), non verrà adottato e al massimo rimarrà un gadget "di nicchia". -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 21:19, cage wrote: On Tue, Nov 09, 2021 at 12:32:20PM +, MAURIZI Lorenzo wrote: In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca. Il problema e' che - se invece usi questo sistema di autenticazione (le impronte digitali, o il volto o altro)- per varie funzioni (banca, entrare a casa, aprire il password manager, cassaforte, accesso al database aziendale, ecc)- ti trovi nella stessa situazione di chi usa la stessa password per siti diversi. Forzato uno, forzate tutte. infatti Infine i dati biometrici sono rubati senza neanche troppa difficolta': https://www.schneier.com/blog/archives/2015/10/stealing_finger.html questo molto probabilmente lo avevo letto, ma me ne ero dimenticato. Spesso mi guardo il blog di Schneier, al venerdì pubblica un articolo che non c'entra nulla con la sicurezza, ma tutti possono commentarlo con notizie che Schneier non ha ancora riportato nel suo blog. Interessante leggere questi commenti, poiché partecipano diversi esperti di sicurezza anche per scambiarsi opinioni tra loro. Comunque, dal mio punto di vista, se si iniziano a richiedere dati biometrici per l'autenticazione si creerà sempre più un mercato di questi dati rubati e quindi aumenteranno i "furti". Essendo tutti questi dati non bloccabili/sostituibili, una volta che te li hanno rubati sei "fritto" ... a meno che non fai un intervento chirurgico per sostituirti le impronte digitali, sostituirti le cornee o fare un intervento plastico facciale... L'unica strada che vedo è vietare l'uso di dati biometrici di propri clienti per qualsiasi attività. In questo modo il mercato diventa meno appetibile e i furti meno probabili. Ciao Davide -- Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 14:43, Piviul wrote: Il 09/11/21 23:03, Davide Prina ha scritto: basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io fino a prova contraria continuo a credere che non sia impresa tanto semplice da un'impronta lasciata su un bicchiere ho preso tre link a caso da una ricerca fatta al momento. Tempo fa avevo letto come poter creare un dito finto a partire da un'impronta digitale lasciata su una superficie, probabilmente era un articolo di qualche ricercatore. Probabilmente se cerchi su arxiv trovi vari studi proposti per poter clonare una componente biometrica e usarla per un riconoscimento che usi tale componente. Ciao Davide -- What happened in 2013 couldn't have happened without free software (He credited free software for his ability to help disclose the U.S. government's far-reaching surveillance projects). Edward Snowden
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 08:26, Diego Zuccato wrote: Il 09/11/2021 23:04, Davide Prina ha scritto: https://taler.net/en/ tutte le transazioni devono passare dall'exchange, che può quindi de-anonimizzare quanto gli pare no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa ha firmato né a chi l'ha firmato. Avrebbe senso se il "contante" anonimo potessi "spenderlo" verso altri utenti, anche offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con una carta NFC senza estrarla dal portafogli. no, l'anonimato non è assoluto. Se uno stato vuole investigare può sapere cosa hai speso e cosa hai comprato... o meglio i passaggi di denaro da un individuo ad un altro. Ciao Davide [¹] https://en.wikipedia.org/wiki/Blind_signature -- I lati oscuri del secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web Petizione contro il secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 08:17, Diego Zuccato wrote: Il 09/11/2021 22:26, Davide Prina ha scritto: Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza che stai usando... e più numeri vengono intercettati e maggiore è la probabilità di azzeccare. Scusa, ma questo proprio non sta in piedi. Per lo meno per TOTP e HOTP. Entrambi si basano su troncamento di hash crittografici. a me hanno detto che le chiavette per l'accesso alla banca sono state tolte perché non sicure. Alcune banche ora forniscono chiavette dette smart (hanno un tastierino e non un singolo bottone). Mi hanno detto inoltre che il problema principale è che l'utente o chi può accedere alla chiavetta (attaccante) può generare a piacere tanti token. Io avevo ipotizzato che gli attaccanti facessero qualcosa del genere: l'algoritmo è pubblico e quindi puoi usarlo a tuo piacere. Ti crei un insieme di sequenze future generate a partire da N semi e in base agli TOTP che intercetti, in determinati tempi, li verifichi con la tua griglia, se trovi delle corrispondenze, allora puoi ipotizzare di aver individuato la sequenza corretta. Più token intercetti nel tempo e maggiori probabilità hai di individuare la sequenza corretta... se è tra quelle da te calcolata nella griglia. In questo modo se l'attaccante sta eseguendo l'attacco su una sola vittima, allora può adagio adagio scartare le sequenze non corrispondenti e sostituirle con nuove. Non ho idea della quantità di calcoli necessari per ottenere qualcosa del genere e la probabilità di poter azzeccare la sequenza corretta. Perfino con MD5 (considerato non sicuro) non è semplice risalire dall'hash alla preimmagine. però dipende dall'uso, l'MD5 non è considerato sicuro se usato per calcolare l'hash di un file, questo perché è dimostrato che è possibile creare un altro file e far sì che l'hash corrisponda a quello del file di origine. Cioè è "facile" trovare/creare collisioni. Ciao Davide -- Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
Il 10/11/21 14:43, Piviul ha scritto: > Il 09/11/21 23:03, Davide Prina ha scritto: >> On 09/11/21 14:56, Piviul wrote: >>> Il 09/11/21 14:39, Mirco Piccin ha scritto: >> >>>> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra >>>> esagerato. >> >>> su questo posso essere d'accordo anche se temo che in ogni caso >>> l'impronta usata su un bicchiere non sia utilizzabile come impronta >>> per l'autenticazione, mi sembra un po' fantascientifica... >> >> basta cercare su internet e trovi diversi metodi: >> https://www.instructables.com/How-to-replicate-fingerprints/ >> https://www.wikihow.com/Fake-Fingerprints >> https://www.youtube.com/watch?v=SnEkg-SWDZs > > molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra > si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io > fino a prova contraria continuo a credere che non sia impresa tanto > semplice da un'impronta lasciata su un bicchiere costruire un finto dito > tridimensionale atto alla autenticazione o un token di autorizzazione da > una app... > > Piviul > Sono anch'io scettico sulla sicurezza dell'uso dei dati biometrici. Aggiungo questo post di Attivissimo, nel quale riporta la notizia che è possibile risalire alle impronte digitali da una semplice foto (del 2014)... e qualcuno poi da questo potrebbe riprodurre (e usare) quelle impronte. https://attivissimo.blogspot.com/2021/05/malvivente-condannato-grazie-una-foto.html Mario
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 23:03, Davide Prina ha scritto: On 09/11/21 14:56, Piviul wrote: Il 09/11/21 14:39, Mirco Piccin ha scritto: Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io fino a prova contraria continuo a credere che non sia impresa tanto semplice da un'impronta lasciata su un bicchiere costruire un finto dito tridimensionale atto alla autenticazione o un token di autorizzazione da una app... Piviul
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 22:26, Davide Prina ha scritto: Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza che stai usando... e più numeri vengono intercettati e maggiore è la probabilità di azzeccare.Scusa, ma questo proprio non sta in piedi. Per lo meno per TOTP e HOTP. Entrambi si basano su troncamento di hash crittografici. Perfino con MD5 (considerato non sicuro) non è semplice risalire dall'hash alla preimmagine. Se ne hai solo una parte, il numero di preimmagini da calcolare cresce in modo esponenziale. Semplicemente non c'è abbastanza energia nel Sole per un calcolo del genere :) Come non c'è per il brute force di una chiave segreta a 256bit. La possibilità di beccare il seme tirando ad indovinare, beh... lasciami dire che avresti più possibilità di vincere 5 cinquine di fila al lotto. :) -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 23:04, Davide Prina ha scritto: Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. ma allora meglio attendere quando sarà pronto GNU Taler e usare quello https://taler.net/en/Uhm... Ad una rapida occhiata qualcosa non mi torna (strano, però, per qualcosa sotto il "cappello" GNU): mi pare identico al sistema del Bancomat (tutte le transazioni devono passare dall'exchange, che può quindi de-anonimizzare quanto gli pare)... Avrebbe senso se il "contante" anonimo potessi "spenderlo" verso altri utenti, anche offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con una carta NFC senza estrarla dal portafogli. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 15:06, Piviul ha scritto: beh in molti fanno il backup del proprio telefono sul cloud dell'azienda che ha fatto il sistema operativo del proprio telefono... La gestione delle credenziali biometriche è on-device e i template non dovrebbero essere esportabili. Per questo viene usata secure enclave, tpm e simili. Al limite, quello che viene esportato è un "blob" criptato con una chiave generata sul dispositivo e che non può essere esportata. Se ti serve l'autenticazione biometrica su un altro dispositivo, devi rifare l'enroll e cambierà la "firma" vista dal sistema remoto. grazie mille, considerazioni interessanti... anche se credo che creare un token di autorizzazione per il telefono partendo da un'impronta su un bicchiere sia un'impresa abbastanza complessa.L'impronta è la cosa più debole: dei ricercatori hanno creato un set di "impronte master" (mi pare una ventina... al momento non trovo il link) in grado di matchare più dell'80% dei template. In pratica, con quelle impronte hai ottime probabilità di accedere a qualsiasi telefono. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 15:02, Diego Zuccato wrote: Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. ma allora meglio attendere quando sarà pronto GNU Taler e usare quello https://taler.net/en/ Ciao Davide -- I didn't use Microsoft machines when I was in my operational phase, because I couldn't trust them. Not because I knew that there was a particular back door or anything like that, but because I couldn't be sure. Edward Snowden
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 14:56, Piviul wrote: Il 09/11/21 14:39, Mirco Piccin ha scritto: Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs Comunque, leggendo articoli di esperti di sicurezza, ti dimostrano che le impronte sono facilmente clonabili, anche a partire dal tuo cellulare che ne è, di solito, pieno. Ciao Davide -- I didn't use Microsoft machines when I was in my operational phase, because I couldn't trust them. Not because I knew that there was a particular back door or anything like that, but because I couldn't be sure. Edward Snowden
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 15:14, Bertorello, Marco wrote: Il 09/11/2021 13:07, Diego Zuccato ha scritto: Il problema dell'autenticazione biometrica è che non puoi revocare le credenziali in caso di compromissione... Credo ci sia un po' di confusione. l'accesso tramite dati biometrici riguarda l'app di quel dispositivo, non del conto in banca. il problema è che se ti rubano i tuoi dati biometrici non li puoi cambiare o revocare. Una volta che te li hanno rubati non è più possibile usarli in sicurezza, qualsiasi dato biometrico sia. Poi metti il caso che per un incidente o altro ho i dati biometrici usati dalla banca alterati o non usabili... non posso più accedere al mio conto? Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione a quel dispositivo, non delle credenziali biometriche. Inoltre, si spera, che prima di accedere tramite biometria all'app della banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim (con cui ricevere l'sms per resettare le credenziali), ecc... Come sempre la sicurezza non e' un prodotto, ma una serie di strati messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere l'obiettivo. certamente, usando più sistemi contemporaneamente puoi rendere più difficile la vita all'attaccante. Ma se uno di questi sistemi si basa su un dato immodificabile, come i dati biometrici, una volta scoperto dall'attaccante hai perso un livello... e non solo per l'accesso dove è stato compromesso, ma per qualsiasi accesso che voglia usare i dati biometrici. Però il problema è che spesso si aggiungono tanti livelli e si pensa di aver fatto un sistema sicuro, ma in realtà non si è pensato nel suo insieme e non si sono pensati dei punti deboli che permettono di bypassare tutte le misure si sicurezza adottate. Ad esempio in questo articolo si mostra come il 30 minuti un esperto di sicurezza a cui è stato consegnato un laptop con TPM, UEFI SecureBoot, windows, ... è riuscito a ricavare la chiave privata del TPM e avere un accesso alla rete aziendale. https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/ Personalmente trovo piu' difficile "copiare" un'impronta digitale che non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di non dover ricordare mille codici di sblocco (che giustamente devono essere differenti una dall'altra). mi è venuto in mente un articolo in ci descriveva una macchina di lusso che poteva essere messa in funzione solo con l'impronta digitale del proprietario. Hanno rubato la macchina ad uno dei "fortunati" compratori e gli hanno tagliato un dito per poter scappare con essa. In ogni caso se il tuo dispositivo è compromesso l'attaccante può rubarti il dato biometrico rilevato dal dispositivo stesso e quindi non ha bisogno del bicchiere o di altro. Una volta che ti ha rubato la tua impronta digitale, puoi cambiare sim/dispositivo o quello che vuoi, ma ormai la tua impronta è nelle mani dell'attaccante Inoltre per molti dati biometrici è dimostrata la facilità di rubarli e clonarli molto facilmente. Ad esempio il riconoscimento facciale può essere derivato da 1 o più foto di una persona. L'UE sta per approvare un nuovo regolamento sulla privacy, oltre il GDPR, che vieterà l'uso del riconoscimento facciale indiscriminato (ad esempio non potrà essere usato in luoghi pubblici, negozi, ...), se non da forze dell'ordine e solo per casi specifici. Non si potrà neanche usare algoritmi per determinare sesso, religione, ... di gruppi di persone. Purtroppo l'uso dei dati biometrici per l'accesso ai conti on-line delle banche è presente nei regolamenti bancari rilasciati da BCE o altro ente sovranazionale (ora non ricordo). Non so se le due cose potrebbero essere in contrasto o meno. Ciao Davide -- Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 15:13, Paolo Redælli wrote: Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia. gli OTP sono soltanto sequenze di valori pseudocasuali determinate da un seme. Il valore della sequenza è preso in base al tempo in cui lo interroghi. Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza che stai usando... e più numeri vengono intercettati e maggiore è la probabilità di azzeccare. Ciao Davide -- I didn't use Microsoft machines when I was in my operational phase, because I couldn't trust them. Not because I knew that there was a particular back door or anything like that, but because I couldn't be sure. Edward Snowden
Re: R: [OT] internet banking e autenticazione biometrica
On Tue, Nov 09, 2021 at 12:32:20PM +, MAURIZI Lorenzo wrote: Ciao! > In caso di > violazione (furto del telefono e dell'impronta sul bicchiere) > basterà revocare il dispositivo, che verrà disattivato dalla banca. Se usi l'impronta digitale solo ed esclusivamente per una funzione concordo, ma fino ad un certo punto, vedi sotto. Il problema e' che - se invece usi questo sistema di autenticazione (le impronte digitali, o il volto o altro)- per varie funzioni (banca, entrare a casa, aprire il password manager, cassaforte, accesso al database aziendale, ecc)- ti trovi nella stessa situazione di chi usa la stessa password per siti diversi. Forzato uno, forzate tutte. Quindi in caso di "furto" (diciamo forse, registrazione?) dell'impronta digitale, devi chiedere di disattivare il telefono, il tablet, cambiare (con una delle altre dita!) la chiave biometrica della serratura, cambiare tutte le password del password manager e forse cercare un nuovo lavoro. :D Inoltre se ti rubano l'impronta digitale e un' altra banca ti "obbliga" (da contratto) ad usare l'impronta digitale che sai gia' esserti stata rubata, che fai? Sei di fronte ad un dilemma morale, economomico, e forse anche in violazione del contratto perche' sai che stai dando delle credenziali gia' insicure. Infine i dati biometrici sono rubati senza neanche troppa difficolta': https://www.schneier.com/blog/archives/2015/10/stealing_finger.html Tutto questo, come sempre, a mio avviso. :) Ciao! C.
Re: [OT] internet banking e autenticazione biometrica
Il giorno mar, 09/11/2021 alle 15.10 +0100, Filippo Dal Bosco - ha scritto: > Il giorno Tue, 9 Nov 2021 14:56:05 +0100 > Piviul ha scritto: > > > > > > > su questo posso essere d'accordo anche se temo che in ogni caso > > l'impronta usata su un bicchiere non sia utilizzabile come impronta > > per l'autenticazione, mi sembra un po' fantascientifica... > > > secondo te come si fanno a rilevare le impronte digitali e poi a > confrontarle con una database in corso di una indagine giudiziaria ? > > Stesso metodo per prenderle da un oggetto che hai toccato e poi > usarle. In realtà non è proprio la stessa cosa; il confronto delle impronte digitali si fa su delle immagini, mentre i sensori attualmente montati sui cellulari e sui pc più moderni del mio sono capacitivi, il che significa che devi trasferire l'immagine rilevata sul bicchiere in forma tridimensionale - alcuni hanno usato una stampante 3D per farlo - non certo una FDM, per intenderci. Per l'internet banking, io lascerei comunque perdere il cellulare in toto. > > Solo la "foto" della retina è difficile da ottenere in modo > fraudolento > a meno che un oculista che ti fa l' OCT ( scansione laser della > retina) non lo ceda ad altri >
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 09:46, Felipe Salvador ha scritto: > On Tue, Nov 09, 2021 at 09:01:44AM +0100, Piviul wrote: >> >>> al primo accesso scegli il tuo codice personale (pin); >>> associa la tua impronta digitale o il riconoscimento del volto.>>> >>> Da questo momento basterà un tocco per autorizzare gli accessi su >>> internet banking o le operazioni che esegui e non sarà più >>> necessario richiedere il codice di conferma SMS. >> >> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba >> i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia >> nulla... o mi sbaglio? > > Ciao, > non usare il telefono per operazioni sul tuo conto, indipendentemente > dal metodo di autenticazione.> Perché le "app" rastrellano dati personali > come se non ci fosse un > domani. Io credo che se una banca decide di rastrellare i tuoi dati con l'app probabilmente fa la stessa cosa con l'home banking da pc e quindi il problema si risolve solo cambiando banca o andando allo sportello e al bancomat Un'altra cosa da fare anche se ha un minimo costo, sia quella di attivare l'avviso via sms di tutte le operazioni che riguardano il proprio conto in uscita di qualsiasi tipo ciao pacmo >
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 13:32, MAURIZI Lorenzo ha scritto: Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza. beh in molti fanno il backup del proprio telefono sul cloud dell'azienda che ha fatto il sistema operativo del proprio telefono... il se lo possiamo anche omettere o almeno spostare tipo ...se è vero che li criptano o che se sono accessibili solo a te... Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso. In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca. Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca. In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata. E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone. grazie mille, considerazioni interessanti... anche se credo che creare un token di autorizzazione per il telefono partendo da un'impronta su un bicchiere sia un'impresa abbastanza complessa. Grazie a tutti Piviul
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 15:36 Paolo Redælli ha scritto: Il 09/11/21 15:20, Filippo Dal Bosco - ha scritto: Il giorno Tue, 9 Nov 2021 15:13:34 +0100 Paolo Redælli ha scritto: Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia. l' autenticazione con CIE ( o SPID) sarebbe ottima. Al momento l' unica banca che propone lo SPID è Fineco Ahimè lo SPID prevede l'uso di applicazioni proprietarie che girano solo su sistemi proprietari e si rifiutano di girare sulle versioni libere o de-googlizzate degli smartphone. Inoltre anche l'autenticazione SPID potrebbe essere svolta usando le OTP, ma nessun fornitore lo fa. E comunque, che io sappia, fineco regala lo SPID ai clienti ma non permette di usarlo per autenticarsi al proprio conto. ciao Christian
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 15:20, Filippo Dal Bosco - ha scritto: Il giorno Tue, 9 Nov 2021 15:13:34 +0100 Paolo Redælli ha scritto: Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia. l' autenticazione con CIE ( o SPID) sarebbe ottima. Al momento l' unica banca che propone lo SPID è Fineco Ahimè lo SPID prevede l'uso di applicazioni proprietarie che girano solo su sistemi proprietari e si rifiutano di girare sulle versioni libere o de-googlizzate degli smartphone. Inoltre anche l'autenticazione SPID potrebbe essere svolta usando le OTP, ma nessun fornitore lo fa.
Re: [OT] internet banking e autenticazione biometrica
Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. Un po' quello che fanno alcune app di pagamento, che automatizzano il prelievo. Se uno ti buca il cell, al limite ti porta via due settimane di budget. Non è bello ma non è come se ti svuotasse tutto il conto coi risparmi di una vita... Il 09/11/2021 14:56, Piviul ha scritto: Il 09/11/21 14:39, Mirco Piccin ha scritto: Ciao Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? "se uno conosce il tuo pin" già sei a posto, direi. beh, qui era un po' il senso del thread... secondo voi che sicurezza hanno messo in piedi? Se uno ruba i tuoi dati biometrici poi può riuscire ad autenticarsi con l'internet banking? Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale... su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... Comunque non preoccupatevi non penso proprio di utilizzare il cellulare per l'internet banking e nemmeno per effettuare pagamenti, non è nelle mie corde, non mi sembra così faticoso tirare fuori il portafoglio... Piviul -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
Il giorno Tue, 9 Nov 2021 15:13:34 +0100 Paolo Redælli ha scritto: > > Una soluzione valida sarebbero la OTP con applicazioni libere, ma > quasi nessuno le usa, che io sappia. l' autenticazione con CIE ( o SPID) sarebbe ottima. Al momento l' unica banca che propone lo SPID è Fineco -- Filippo
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 15:02, Diego Zuccato ha scritto: Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. Un po' quello che fanno alcune app di pagamento, che automatizzano il prelievo. Se uno ti buca il cell, al limite ti porta via due settimane di budget. Non è bello ma non è come se ti svuotasse tutto il conto coi risparmi di una vita... a me non piacerebbe, mi piace avere memoria delle cose che faccio e fare un'azione fisica mi aiuta a ricordarne l'esistenza, non ne sento proprio la necessità. Ma del resto è cosa nota: de gustibus non est disputandum. Piviul
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 13:07, Diego Zuccato ha scritto: Il problema dell'autenticazione biometrica è che non puoi revocare le credenziali in caso di compromissione... Credo ci sia un po' di confusione. l'accesso tramite dati biometrici riguarda l'app di quel dispositivo, non del conto in banca. Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione a quel dispositivo, non delle credenziali biometriche. Inoltre, si spera, che prima di accedere tramite biometria all'app della banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim (con cui ricevere l'sms per resettare le credenziali), ecc... Come sempre la sicurezza non e' un prodotto, ma una serie di strati messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere l'obiettivo. Personalmente trovo piu' difficile "copiare" un'impronta digitale che non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di non dover ricordare mille codici di sblocco (che giustamente devono essere differenti una dall'altra). Che poi alla fine siamo esseri umani, non progettati per memorizzare queste cose, ci si ritrova ad usare una data come pin, prima scritta in un senso e poi in un altro, o ad aver post-it nel portafogli o salvati sotto contatti con nomi strani e dover fare copia/incolla in continuazione (che sul telefono non e' proprio comodissimo). saluti, -- Marco Bertorello https://www.marcobertorello.it OpenPGP_0x5B7B17E82E9F51CE.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 14:55, pinguino ha scritto: Il buon vecchio SMS One-time sembra che funziona ancora bene. Cioè quello cambia ogni volta che si accede e vale solo per pochi minuti. Ha un costo di pochi cents, ma forse vale la pena. Altrove (FSFE Milano) c'è chi lavora nella telefonia ed evita come la peste gli SMS che clonare una SIM ci vuole un attimo. Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia.
Re: [OT] internet banking e autenticazione biometrica
Il giorno Tue, 9 Nov 2021 14:56:05 +0100 Piviul ha scritto: > > > su questo posso essere d'accordo anche se temo che in ogni caso > l'impronta usata su un bicchiere non sia utilizzabile come impronta > per l'autenticazione, mi sembra un po' fantascientifica... > secondo te come si fanno a rilevare le impronte digitali e poi a confrontarle con una database in corso di una indagine giudiziaria ? Stesso metodo per prenderle da un oggetto che hai toccato e poi usarle. Solo la "foto" della retina è difficile da ottenere in modo fraudolento a meno che un oculista che ti fa l' OCT ( scansione laser della retina) non lo ceda ad altri -- Filippo
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 14:39, Mirco Piccin ha scritto: Ciao Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? "se uno conosce il tuo pin" già sei a posto, direi. beh, qui era un po' il senso del thread... secondo voi che sicurezza hanno messo in piedi? Se uno ruba i tuoi dati biometrici poi può riuscire ad autenticarsi con l'internet banking? Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale... su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... Comunque non preoccupatevi non penso proprio di utilizzare il cellulare per l'internet banking e nemmeno per effettuare pagamenti, non è nelle mie corde, non mi sembra così faticoso tirare fuori il portafoglio... Piviul
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 13:07, Diego Zuccato wrote: > Il problema dell'autenticazione biometrica è che non puoi revocare le > credenziali in caso di compromissione... > > Il 09/11/2021 14:39, Mirco Piccin ha scritto: >> Ciao >> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? >> >> "se uno conosce il tuo pin" già sei a posto, direi. >> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra >> esagerato. >> E' molto più semplice l'ingegneria sociale... >> >> My 2 cents... >> M >> > Buongiorno Lista, Il buon vecchio SMS One-time sembra che funziona ancora bene. Cioè quello cambia ogni volta che si accede e vale solo per pochi minuti. Ha un costo di pochi cents, ma forse vale la pena. Grazie Saluti Claudio -- https://www.linkedin.com/in/claudio-sandrone
R: [OT] internet banking e autenticazione biometrica
Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza. Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso. In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca. Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca. In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata. E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone. LM -Messaggio originale- Da: Piviul Inviato: martedì 9 novembre 2021 09:02 A: debian-italian Oggetto: [OT] internet banking e autenticazione biometrica Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e nemmeno su debian però riguarda un mondo strettamente interconnesso... Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad installare la loro app sul cellulare in modo da non stare a leggere i codici per le operazioni bancarie dall'internet banking ma autenticare l'operazione direttamente con i dati biometrici. Questo è quello che dice letteralmente: > al primo accesso scegli il tuo codice personale (pin); associa la tua > impronta digitale o il riconoscimento del volto. > > Da questo momento basterà un tocco per autorizzare gli accessi su > internet banking o le operazioni che esegui e non sarà più necessario > richiedere il codice di conferma SMS. Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? Grazie Piviul
Re: [OT] internet banking e autenticazione biometrica
Il problema dell'autenticazione biometrica è che non puoi revocare le credenziali in caso di compromissione... Il 09/11/2021 14:39, Mirco Piccin ha scritto: Ciao Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? "se uno conosce il tuo pin" già sei a posto, direi. Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale... My 2 cents... M -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
Ciao > > Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba > > i tuoi dati biometrici ti può svuotare il conto senza che tu ne > > sappia nulla... o mi sbaglio? "se uno conosce il tuo pin" già sei a posto, direi. Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale... My 2 cents... M
Re: [OT] internet banking e autenticazione biometrica
Il giorno Tue, 9 Nov 2021 09:01:44 +0100 Piviul ha scritto: > > > Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba > i tuoi dati biometrici ti può svuotare il conto senza che tu ne > sappia nulla... o mi sbaglio? per operare con le banche è estremante consigliato NON usare app dello smartphone. le impronte digitali possono essere facilmente "rubate". Ad esempio al bar tu bevi da un bicchiere, lasci il bicchiere con le tue impronte che qualcuno può copiare. l' unico metodo biometrico abbastanza sicuro è la lettura della retina, non del volto. Il tuo volto può essere fotografato e la foto potrebbe essere usata per rubare i tuoi soldi. Io penserei a cambiare la banca che mi propone simili facezie. -- Filippo
Re: [OT] internet banking e autenticazione biometrica
On Tue, Nov 09, 2021 at 09:01:44AM +0100, Piviul wrote: > Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e > nemmeno su debian però riguarda un mondo strettamente interconnesso... > > Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad > installare la loro app sul cellulare in modo da non stare a leggere i > codici per le operazioni bancarie dall'internet banking ma autenticare > l'operazione direttamente con i dati biometrici. > > Questo è quello che dice letteralmente: > > > al primo accesso scegli il tuo codice personale (pin); > > associa la tua impronta digitale o il riconoscimento del volto. > > > > Da questo momento basterà un tocco per autorizzare gli accessi su > > internet banking o le operazioni che esegui e non sarà più > > necessario richiedere il codice di conferma SMS. > > Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba > i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia > nulla... o mi sbaglio? Ciao, non usare il telefono per operazioni sul tuo conto, indipendentemente dal metodo di autenticazione. Per prevenire quello che tu stesso hai ipotizzato. Perché le "app" rastrellano dati personali come se non ci fosse un domani. Perché loro si fanno garanti della sicurezza delle loro "app", ma il modello di sviluppo è rotto fin dal principio. Saluti > Grazie > > Piviul -- Felipe Salvador
[OT] internet banking e autenticazione biometrica
Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e nemmeno su debian però riguarda un mondo strettamente interconnesso... Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad installare la loro app sul cellulare in modo da non stare a leggere i codici per le operazioni bancarie dall'internet banking ma autenticare l'operazione direttamente con i dati biometrici. Questo è quello che dice letteralmente: al primo accesso scegli il tuo codice personale (pin); associa la tua impronta digitale o il riconoscimento del volto. Da questo momento basterà un tocco per autorizzare gli accessi su internet banking o le operazioni che esegui e non sarà più necessario richiedere il codice di conferma SMS. Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? Grazie Piviul
Re: [Debian/GNU Linux - Stretch] Errore di autenticazione leggendo posta di u...@gmail.com
Mandi! Paolo Redælli In chel di` si favelave... > Nel senso che se apro una casella oggi non è possibile attivare IMAP > oppure che è "solo" disabilitato di default? È sicuramente disabilitata di default. Purtroppo credo che non sia neanche abilitabile... -- chi si convertiva nel novanta ne era dispensato nel novantuno (F. De Andre`)
Re: [Debian/GNU Linux - Stretch] Errore di autenticazione leggendo posta di u...@gmail.com
Il 20/07/21 23:04, Marco Gaiarin ha scritto: Mandi! Ennio-Sr In chel di` si favelave... L'unica differenza tra i due indirizzi di posta è che quello di Carlo è stato aperto diversi anni fa (e, quando ci sono messaggi in arrivo, essi vengono regolarmente scaricati), mentre quello di Dario risale a meno di un anno fa e ha sempre dato questo errore! Occhio che BigG ha smesso di fornire accesso POP/IMAP da una certa data in poi, e comunque va abilitato esplicitamente nelle impostazioni dell'account, non è più abilitato di default. Nel senso che se apro una casella oggi non è possibile attivare IMAP oppure che è "solo" disabilitato di default?
Re: [Debian/GNU Linux - Stretch] Errore di autenticazione leggendo posta di u...@gmail.com
* Marco Gaiarin [200721, 23:04]: > Mandi! Ennio-Sr > In chel di` si favelave... > > > [cut] > Occhio che BigG ha smesso di fornire accesso POP/IMAP da una certa data in > poi, e comunque va abilitato esplicitamente nelle impostazioni dell'account, > non ? pi? abilitato di default. > Grazie Marco, era l''informazione che mi mancava... Ciao, Ennio -- [Perché usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo. \\?// Fà qualche cosa di cui non sei capace!" (diceva Henry Miller) (°|°) [Why use Win$ozz (I say) if ... "even a fool can do that. .)=(. Do something you aren't good at!" (as Henry Miller used to say)] /_\
Re: [Debian/GNU Linux - Stretch] Errore di autenticazione leggendo posta di u...@gmail.com
Mandi! Ennio-Sr In chel di` si favelave... > L'unica differenza tra i due indirizzi di posta è che quello di Carlo è > stato aperto diversi anni fa (e, quando ci sono messaggi in arrivo, essi > vengono regolarmente scaricati), mentre quello di Dario risale a meno > di un anno fa e ha sempre dato questo errore! Occhio che BigG ha smesso di fornire accesso POP/IMAP da una certa data in poi, e comunque va abilitato esplicitamente nelle impostazioni dell'account, non è più abilitato di default. -- Per l'ottimista, il bicchiere è mezzo pieno. Per il pessimista, il bicchiere è mezzo vuoto. Per l'ingegnere, il bicchere è grande il doppio del necessario.(Bill Sharpe)
[Debian/GNU Linux - Stretch] Errore di autenticazione leggendo posta di u...@gmail.com
Ciao a tutti! Quando provo a leggere da console la posta di due utenze diverse su gmail.com, per una di esse mi dà errore di autenticazione. La password inserita nella linea di comando contenuta in .fetchmailrc è naturalmente corretta; l'unica cosa strana che noto è la seguente: -- quote fetchmail: No mail for ca...@gmail.com at pop.gmail.com ^ fetchmail: Authorisation failure on da...@gmail.com@pop.gmail.com ^^ fetchmail: For help, see http://www.fetchmail.info/fetchmail-FAQ.html#R15 fetchmail: Query status=3 (AUTHFAIL) - unquote --- Ho letto, naturalmente, la #R15 del link di cui sopra e ho provato tutte le varianti suggerite, senza alcun risultato. L'unica differenza tra i due indirizzi di posta è che quello di Carlo è stato aperto diversi anni fa (e, quando ci sono messaggi in arrivo, essi vengono regolarmente scaricati), mentre quello di Dario risale a meno di un anno fa e ha sempre dato questo errore! Non riesco a capire la differente notazione del primo ('at pop') rispetto al secondo ('@pop') ma non penso sia la causa dell'errore... Grazie di eventuali suggerimenti. Saluti, ennio. -- [Perché usare Win$ozz (dico io) se ..."anche uno sciocco sa farlo. \\?// Fà qualche cosa di cui non sei capace!" (diceva Henry Miller) (°|°) [Why use Win$ozz (I say) if ... "even a fool can do that. .)=(. Do something you aren't good at!" (as Henry Miller used to say)] /_\
Re: [Stabile] Apache e autenticazione
Luca De Andreiswrites: [...] > When this directive is set to None, .htaccess files are completely > ignored. In this case, the server will not even attempt to read > .htaccess files in the filesystem. Non mi funziona :-( In /etc/apache2/sites-available/default-ssl.conf Options FollowSymLinks AllowOverride AuthConfig Options Indexes FollowSymLinks MultiViews Order allow,deny allow from all in /var/www/calendari/.htaccess AuthType Basic AuthName "Calendari di casa" AuthBasicProvider file AuthUserFile "/etc/apache2/calpass" Require valid-user E non mi chiede la password :-( -- leandro 1A0B 125B 2E4D 2DAE 4E26 4551 88FB BBCC 7A29 640B https://bbs.cybervalley.org/ChiaveLeandro/gpg.html http://6xukrlqedfabdjrb.onion signature.asc Description: PGP signature
Re: [Stabile] Apache e autenticazione
AuthType Basic AuthName "Calendari di casa" AuthBasicProvider file AuthUserFile "/etc/apache2/calpass" Require valid-user Il 31 ottobre 2016 18:25, Leandro Noferini <lnofe...@cybervalley.org> ha scritto: > Leandro Noferini <lnofe...@cybervalley.org> writes: > > Dopo qualche prova ho capito che queste righe: > >> >> Options FollowSymLinks >> AllowOverride None >> Options Indexes FollowSymLinks MultiViews >> Order allow,deny >> allow from all >> > > Mi impedivano la richiesta di autenticazione per tutte le sottocartelle > del sito: eliminandole ho risolto. > > Grazie a tutti lo stesso! > > -- > leandro > 1A0B 125B 2E4D 2DAE 4E26 4551 88FB BBCC 7A29 640B > https://bbs.cybervalley.org/ChiaveLeandro/gpg.html > http://6xukrlqedfabdjrb.onion -- .~. /V\ // \\ /( )\ ^`~'^
Re: [Stabile] Apache e autenticazione
Ciao, non penso che la rimozione di tutte le direttive sia saggia, identifico il problema nella direttiva allowoverride: When this directive is set to None, .htaccess files are completely ignored. In this case, the server will not even attempt to read .htaccess files in the filesystem. Puoi pensare di non usare proprio un All, ma una più sana: AllowOverride AuthConfig Ciao Luca smime.p7s Description: Firma crittografica S/MIME
Re: [Stabile] Apache e autenticazione
Leandro Noferini <lnofe...@cybervalley.org> writes: Dopo qualche prova ho capito che queste righe: > > Options FollowSymLinks > AllowOverride None > Options Indexes FollowSymLinks MultiViews > Order allow,deny > allow from all > Mi impedivano la richiesta di autenticazione per tutte le sottocartelle del sito: eliminandole ho risolto. Grazie a tutti lo stesso! -- leandro 1A0B 125B 2E4D 2DAE 4E26 4551 88FB BBCC 7A29 640B https://bbs.cybervalley.org/ChiaveLeandro/gpg.html http://6xukrlqedfabdjrb.onion signature.asc Description: PGP signature
[Stabile] Apache e autenticazione
Ciao a tutti, premetto che sono un utente inconsapevole nonché un balbettante in lingua madre apache e che quindi spesso non so quello che sto facendo. Sto provando a proteggere una cartella del server apache con una password ma non mi riesce perché la password non mi viene richiesta e la cartella viene mostrata subito. Ho provato questa configurazione: - nel file di configurazione del sito queste mi paiono le righe significative DocumentRoot /var/www Options FollowSymLinks AllowOverride None Options Indexes FollowSymLinks MultiViews Order allow,deny allow from all e poi la cartella in questione AuthType Basic AuthName "Calendari di casa" AuthBasicProvider file AuthUserFile "/etc/apache2/calpass" Require valid-user - il file /etc/apache2/calpass mi sembra di averlo creato così come i Sacri Testi insegnano - il modulo auth_basic è abilitato E invece niente, non viene richiesta nessuna password e nessuna segnalazione particolare nei log. Dove posso cercare l'errore? -- leandro 1A0B 125B 2E4D 2DAE 4E26 4551 88FB BBCC 7A29 640B https://bbs.cybervalley.org/ChiaveLeandro/gpg.html http://6xukrlqedfabdjrb.onion signature.asc Description: PGP signature
Re: Problemi di autenticazione SAMBA (RISOLTO)
Confermo ragazzi, risolto ! E ringrazio tantissimo Giulio per questo ! Aggiungendo l'opzione sec=ntlm il mount avviene correttamente. Ora mi chiedo, perchè ? Perchè senza quell'opzione il tutto ha funzionato alla perfezione per mesi e mesi ed ora non più ? Perchè Microsoft ha chiuso l'altro ieri una grossa falla in Active Directory e questo ha modificato il tipo di protocollo di sicurezza utilizzato ? Ho dei server DC Samba 4 e non ho avuto il minimo problema, quindi (mio pensiero), è sul DC Windows che qualcosa è cambiato. E' ovvio che il mio obiettivo è eliminare i DC Microsoft in favore di Samba 4, ma serve tempo e quello è sempre meno Grazie a tutti per il supporto Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150312081819.m10...@corep.it
Re: Problemi di autenticazione SAMBA (RISOLTO)
dea writes: Confermo ragazzi, risolto ! E ringrazio tantissimo Giulio per questo ! Un bravo a tutti e due! E' ovvio che il mio obiettivo è eliminare i DC Microsoft *sulla musica dello spot di un noto cerotto* Microsoft, Microsoft! Non fa male quando si leva! Mi-cro-soft! -- /\ ___Ubuntu: ancient /___/\_|_|\_|__|___Gian Uberto Lauri_ African word //--\| | \| | Integralista GNUslamicomeaning I can \/ coltivatore diretto di software not install già sistemista a tempo (altrui) perso...Debian Warning: gnome-config-daemon considered more dangerous than GOTO -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/21761.20273.70922.939...@mail.eng.it
Re: Problemi di autenticazione SAMBA
In data mercoledì 11 marzo 2015 23:34:03, dea ha scritto: Datemi un muro dove sbattere la testa... è tutto il giorno (e la notte) che provo e riprovo, ma senza ottenere risultati. Questo caso è relativo ad una rete pesantemente ibrida: - Due DC Windows - Un file server Debian in join con il dominio di cui sopra - Client Windows - Clinet Debian Da questa mattina (sino a ieri tutto andava come un orologio): - I client windows si autenticano in dominio ed accedono al file server (Debian) senza problemi. - I client Linux si autenticano in dominio ma *NON* accedono al file server, rilasciano un errore 13 (autenticazion errata). Ho provato di tutto, qualsiasi cosa sensata e non sensata... ma nulla è stato toccato e sino a ieri tutto ha funzionato. Dopo 12 ore pianti ho notato una questione... i due DC Windows hanno installato diversi aggiornamenti automatici... sospetto, orrendo sospetto... Cosa ne pensate ? I tuoi sospetti potrebbero essere fondati. sulla macchina da cui scrivo avevo winxp sulla prima partizione, le altre hanno varie distro comprese tre debian, per qualche motivo ho voluto reinstallare xp che è stato subito soggetto ad aggiornamenti, dopo gli aggiornamenti xp aveva problemi tali da indurmi alla sua reinstallazione. Morale: su questa macchina nonposso più avere xp perchè non si riesce più ad installarlo, per cui sospetto . . . Ah, la macchina per tutto il resto funziona coma prima, almeno così mi sembra. PS, un'altro cliente ha una configurazione simile... ma senza server DC Windows: - DC Samba 4 on Debian - File server Debian in Join con il DC di cui sopra - Client misti, Windows e Linux Nessun problema... zero di zero... che siano i DC Valutate che i vari testi con kinit hanno successo sui client, il problema è relativo solamente all'autenticazione verso Samba (che, ripeto, non è stato toccato, eredita l'autenticazione dai DC e funziona alla perfezione se i client sono Windows). Ma l'altro cliente ha avuto anche lui gli aggiornamenti su windows? Credo che MS$ sia facendo la guerra a linux, questo credo. Saluti -- elio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1441159.o4BiJZpunW@elmaravea
Problemi di autenticazione SAMBA
Datemi un muro dove sbattere la testa... è tutto il giorno (e la notte) che provo e riprovo, ma senza ottenere risultati. Questo caso è relativo ad una rete pesantemente ibrida: - Due DC Windows - Un file server Debian in join con il dominio di cui sopra - Client Windows - Clinet Debian Da questa mattina (sino a ieri tutto andava come un orologio): - I client windows si autenticano in dominio ed accedono al file server (Debian) senza problemi. - I client Linux si autenticano in dominio ma *NON* accedono al file server, rilasciano un errore 13 (autenticazion errata). Ho provato di tutto, qualsiasi cosa sensata e non sensata... ma nulla è stato toccato e sino a ieri tutto ha funzionato. Dopo 12 ore pianti ho notato una questione... i due DC Windows hanno installato diversi aggiornamenti automatici... sospetto, orrendo sospetto... Cosa ne pensate ? PS, un'altro cliente ha una configurazione simile... ma senza server DC Windows: - DC Samba 4 on Debian - File server Debian in Join con il DC di cui sopra - Client misti, Windows e Linux Nessun problema... zero di zero... che siano i DC Valutate che i vari testi con kinit hanno successo sui client, il problema è relativo solamente all'autenticazione verso Samba (che, ripeto, non è stato toccato, eredita l'autenticazione dai DC e funziona alla perfezione se i client sono Windows). Mha.. Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150311222644.m20...@corep.it
Re: Problemi di autenticazione SAMBA
Provato le opzioni di sec= tipo -o sec=ntmlv2 ? Il 11 marzo 2015 23:34:03 CET, dea d...@corep.it ha scritto: Datemi un muro dove sbattere la testa... è tutto il giorno (e la notte) che provo e riprovo, ma senza ottenere risultati. Questo caso è relativo ad una rete pesantemente ibrida: - Due DC Windows - Un file server Debian in join con il dominio di cui sopra - Client Windows - Clinet Debian Da questa mattina (sino a ieri tutto andava come un orologio): - I client windows si autenticano in dominio ed accedono al file server (Debian) senza problemi. - I client Linux si autenticano in dominio ma *NON* accedono al file server, rilasciano un errore 13 (autenticazion errata). Ho provato di tutto, qualsiasi cosa sensata e non sensata... ma nulla è stato toccato e sino a ieri tutto ha funzionato. Dopo 12 ore pianti ho notato una questione... i due DC Windows hanno installato diversi aggiornamenti automatici... sospetto, orrendo sospetto... Cosa ne pensate ? PS, un'altro cliente ha una configurazione simile... ma senza server DC Windows: - DC Samba 4 on Debian - File server Debian in Join con il DC di cui sopra - Client misti, Windows e Linux Nessun problema... zero di zero... che siano i DC Valutate che i vari testi con kinit hanno successo sui client, il problema è relativo solamente all'autenticazione verso Samba (che, ripeto, non è stato toccato, eredita l'autenticazione dai DC e funziona alla perfezione se i client sono Windows). Mha.. Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150311222644.m20...@corep.it -- Inviato dal mio cellulare Android con K-9 Mail.
filesystem di rete con autenticazione.
Un saluto a tutta la lista, possiedo un piccolo nas casalingo, nel quale vorrei posizionare piccolo repository locale mantenuto con apt-move. Ho già provato con il protocollo SMB con risultati non soddisfacenti causa caratteri non permessi, il protocollo NFS sarebbe ottimale, ma non mi permette di attivare una autenticazione, almeno attraverso l'interfaccia web e non posso installarvi un server kerberos, FTP funziona come voglio, ma il fatto di ritrovarmi i permessi 777 su tutto non mi piace. Consigli? Già vi ringrazio anticipatamente Tiziano. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141205160410.0f46ac83@big-wolf
Re: filesystem di rete con autenticazione.
possiedo un piccolo nas casalingo, nel quale vorrei posizionare piccolo repository locale mantenuto con apt-move. Ho già provato con il protocollo SMB con risultati non soddisfacenti causa caratteri non permessi, il protocollo NFS sarebbe ottimale, ma non mi permette di attivare una autenticazione, almeno attraverso l'interfaccia web e non posso installarvi un server kerberos, FTP funziona come voglio, ma il fatto di ritrovarmi i permessi 777 su tutto non mi piace. Per esempio WebDav. Walter -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1958676336.6072842.1417792850388.javamail.ya...@jws11104.mail.ir2.yahoo.com
Re: filesystem di rete con autenticazione.
possiedo un piccolo nas casalingo, nel quale vorrei posizionare piccolo repository locale mantenuto con apt-move. Ho già provato con il protocollo SMB con risultati non soddisfacenti causa caratteri non permessi, il protocollo NFS sarebbe ottimale, ma non mi permette di attivare una autenticazione, almeno attraverso l'interfaccia web e non posso installarvi un server kerberos, FTP funziona come voglio, ma il fatto di ritrovarmi i permessi 777 su tutto non mi piace. Consigli? Un'altra cosa. In genere il server ftp ti permette di scegliere il default dei permessi. Che ftp server hai provato? Walter -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1217732286.6123716.1417793934540.javamail.ya...@jws11123.mail.ir2.yahoo.com
Re: filesystem di rete con autenticazione.
Il giorno Fri, 5 Dec 2014 15:38:54 + (UTC) Walter Valenti waltervale...@yahoo.it ha scritto: possiedo un piccolo nas casalingo [cut] Ho già provato ... SMB ... NFS ... FTP [cut] ma il fatto di ritrovarmi i permessi 777 su tutto non mi piace. Un'altra cosa. In genere il server ftp ti permette di scegliere il default dei permessi. Che ftp server hai provato? Walter Quello standard del nas, ora mi sto informando su webdav che lo vedo li menzionato: /ram_bin/usr/local/dmsf/binary/resources/webconfig/webdav-strings-en.json /usr/local/dmsf/binary/resources/webconfig/webdav-strings-en.json Per quel che riguarda FTP umask=111 farebbe già quello che voglio, ma ogni occasione è buona per migliorarsi. A dire il vero, FTP mi fa accedere a tutto il disco incondizionatamente, mi piacerebbe limitarlo in qualche modo. Moltissime grazie. Tiziano. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141205165618.6b6247dd@big-wolf
Re: filesystem di rete con autenticazione.
Il giorno 05/dic/2014, alle ore 16:04, Tiziano teb...@alice.it ha scritto: possiedo un piccolo nas casalingo, nel quale vorrei posizionare piccolo repository locale mantenuto con apt-move. Ho già provato con il protocollo SMB con risultati non soddisfacenti causa caratteri non permessi, il protocollo NFS sarebbe ottimale, ma non mi permette di attivare una autenticazione, almeno attraverso l'interfaccia web e non posso installarvi un server kerberos, FTP funziona come voglio, ma il fatto di ritrovarmi i permessi 777 su tutto non mi piace. Che problemi hai avuto di preciso con samba? Proprio perché ci serve l’autenticazione ed il supporto a più sistemi operativi[1] noi usiamo Samba sul nostro file server con Wheezy e non abbiamo mai notato problemi con caratteri non permessi. Anzi, abbiamo il problema opposto: gli utenti usano tutti i caratteri che gli capitano, e quando cercano un file non ricordano se avevano usato lettere accentate nel nome originale oppure no. saluti gerlos [1]: Originariamente avevamo una rete con 8 PC Windows, 2 Mac OS X, 1 server Windows Server 2k3 e 1 Ubuntu, ma sono fiero di dire che da questa settimana la nostra rete è completamente libera da Microsoft Windows! Adesso abbiamo 10 PC Ubuntu, 2 Mac OS X ed 1 server Debian Wheezy, e MOLTE MENO seccature! Certo, la transizione ha richiesto un bel po’ di lavoro... -- Life is pretty simple: You do some stuff. Most fails. Some works. You do more of what works. If it works big, others quickly copy it. Then you do something else. The trick is the doing something else. http://gerlos.altervista.org gerlos +- - - gnu/linux registred user #311588 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/c76d97c0-37db-4699-906c-706360c88...@gmail.com
Re: filesystem di rete con autenticazione.
ma il fatto di ritrovarmi i permessi 777 su tutto non mi piace. Un'altra cosa. In genere il server ftp ti permette di scegliere il default dei permessi. Che ftp server hai provato? Walter Quello standard del nas, ora mi sto informando su webdav che lo vedo li menzionato: /ram_bin/usr/local/dmsf/binary/resources/webconfig/webdav-strings-en.json /usr/local/dmsf/binary/resources/webconfig/webdav-strings-en.json Per quel che riguarda FTP umask=111 farebbe già quello che voglio, ma ogni occasione è buona per migliorarsi. A dire il vero, FTP mi fa accedere a tutto il disco incondizionatamente, mi piacerebbe limitarlo in qualche modo. Non so che ftp server usi il tuo NAS, ma in genere la root directory è configurabile in un ftp server. Walter -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/530359296.6114028.1417795366288.javamail.ya...@jws4.mail.ir2.yahoo.com
Re: filesystem di rete con autenticazione.
Il giorno Fri, 5 Dec 2014 16:59:45 +0100 gerlos gerlo...@gmail.com ha scritto: Il giorno 05/dic/2014, alle ore 16:04, Tiziano teb...@alice.it ha scritto: possiedo un piccolo nas casalingo, [cut] con il protocollo SMB con risultati non soddisfacenti causa caratteri non permessi, Che problemi hai avuto di preciso con samba? Dopo aver montato la share smb ed avviato apt-move, dopo un bel po di tempo apt-move si bloccava su dei pacchetti ben precisi, dopo un'attenta ricerca ho scoperto che i nomi di quei pacchetti contenevano caratteri vietati in ambiente windows, passato a nfs il problema è scomparso. [1]: Originariamente avevamo una rete con 8 PC Windows, 2 Mac OS X, 1 server Windows Server 2k3 e 1 Ubuntu, ma sono fiero di dire che da questa settimana la nostra rete è completamente libera da Microsoft Windows! Adesso abbiamo 10 PC Ubuntu, 2 Mac OS X ed 1 server Debian Wheezy, e MOLTE MENO seccature! Interessante, potreste farci un case-study a riguardo, quali problemi avete eliminato? Quali invece avete dovuto risolvere nella transazione? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141205214337.5c0ade2b@big-wolf
Freeradius con autenticazione su due database
Mi serve: autenticare accesso wifi su due access point basandosi su due database: il primo il normale file /etc/passwd presente sul server, se l'utente non viene trovato il server deve potere mandare una richiesta a un servizio esterno ( è una chiamata con ujh uRL https://server2/isvaliduser.cgi?user=usernamepassatopass=passwordpassata il server esterno ritorna una stringa MMDDHHMMSS rappresentante la scadenza dell'account se valido, o -501 se non valido. (in teopria potrebbe anche accettare user nella forma user nel primo caso e user@server2 nel secondo caso e fare un solo controllo) né sui manuali di freeradius ne in rete sono riuscito a trovare come fare questa cosa ... havete indicazioni da darmi ? -- Leonardo Boselli Dipartimento ingegneria Civile e Ambientale UNIFI tel +39 0552758808 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/alpine.deb.2.02.1411261643200.5...@dipolo.dicea.unifi.it
Re: [OT] ubuntu e autenticazione
Il 14/11/2014 20:01, Piviul ha scritto: Il 14/11/2014 11:43, onetmt ha scritto: Potresti provare a fare un chroot sul sistema ubuntu, e da li' passwd nomeutente. Grazie mille, ha funzionato! ...anche se rimane un mistero ?) il mistero e' nel fatto che funziona o nel perche' sia cosi' semplice forzare un sistema linux? Nel secondo caso, il presupposto e' che non puo' esserci sicurezza che tenga in caso di accesso fisico alla macchina, e quindi tanto vale... -- Hofstadter's Law: It always takes longer than you expect, even when you take into account Hofstadter's Law. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5469f75f.4060...@gmail.com
Re: [OT] ubuntu e autenticazione
Il 17/11/2014 14:25, onetmt ha scritto: il mistero e' nel fatto che funziona o nel perche' sia cosi' semplice forzare un sistema linux? Nel secondo caso, il presupposto e' che non puo' esserci sicurezza che tenga in caso di accesso fisico alla macchina, e quindi tanto vale... il mistero secondo me è in ubuntu, perché debba complicarsi la vita senza rendere le cose più sicure... bah... voglio dire: la hash della password è memorizzata in /etc/shadow e perché memorizzarla anche da qualche altra parte? Io in rete non ho trovato nulla in proposito e forse avranno le loro buone ragioni ma a me sfuggono... Comunque mille grazie!!! Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/546a5c49.3060...@riminilug.it
Re: [OT] ubuntu e autenticazione
fran...@modula.net ha scrito il 14/11/2014 alle 15:46: http://xmodulo.com/how-to-reset-root-password-in-debian-ubuntu.html è molto più comodo cambiarla con chroot soprattutto come nel mio caso l'account è l'unico account abilitato presente sul pc... bisogna quindi accedere sempre da live e a quel punto... in un passaggio fai tutto. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/546af690.5020...@riminilug.it
[OT] ubuntu e autenticazione
Ciao a tutti, su un PC con ubuntu è stata persa la password dell'unico utente presente. Con debian in questi casi con una live cancello la password presente in /etc/shadow dell'utente dopodiché mi loggo sulla console inserendo semplicemente lo username poi eseguo passwd. Ho fatto la stessa cosa con ubuntu e non funziona: continua a chiedermi la password anche se in /etc/shadow la password non è più memorizzata. Ho trovato in rete che su Ubuntu bisogna andare nella console di ripristino, accedere come root ed eseguire il comando passwd nomeutente. Ho provato anche questa strada ma mi risponde errore nel token di autorizzazione (probabilmente perché in /etc/shadow la password l'ho cancellata...). Avete qualche notizia su come viene gestita l'autenticazione in Ubuntu o almeno su come possa risolvere il problema? Grazie Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5465d951.4090...@riminilug.it
Re: [OT] ubuntu e autenticazione
Il 14 novembre 2014 11:28, Piviul piv...@riminilug.it ha scritto: Ho provato anche questa strada ma mi risponde errore nel token di autorizzazione (probabilmente perché in /etc/shadow la password l'ho cancellata...). crea un nuovo utente con una password a caso ma nota, guarda qual e' il suo hash e copialo al posto della vecchia password in /etc/shadow in questo modo quest'ultimo errore *dovrebbe* risolversi... -- Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc Prima di tutto vennero a prendere gli zingari e fui contento, perché rubacchiavano. Poi vennero a prendere gli ebrei e stetti zitto, perché mi stavano antipatici. Poi vennero a prendere gli omosessuali, e fui sollevato, perché mi erano fastidiosi. Poi vennero a prendere i comunisti, e io non dissi niente, perché non ero comunista. Un giorno vennero a prendere me, e non c'era rimasto nessuno a protestare. (Martin Niemöller) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CA+vfGHZe=s7hysqv9edxh1-sttv+q3e6aay-02f8psgniat...@mail.gmail.com
Re: [OT] ubuntu e autenticazione
Il 14/11/2014 11:28, Piviul ha scritto: Ciao a tutti, su un PC con ubuntu è stata persa la password dell'unico utente presente. Con debian in questi casi con una live cancello la password presente in /etc/shadow dell'utente dopodiché mi loggo sulla console inserendo semplicemente lo username poi eseguo passwd. Ho fatto la stessa cosa con ubuntu e non funziona: continua a chiedermi la password anche se in /etc/shadow la password non è più memorizzata. Ho trovato in rete che su Ubuntu bisogna andare nella console di ripristino, accedere come root ed eseguire il comando passwd nomeutente. Ho provato anche questa strada ma mi risponde errore nel token di autorizzazione (probabilmente perché in /etc/shadow la password l'ho cancellata...). Avete qualche notizia su come viene gestita l'autenticazione in Ubuntu o almeno su come possa risolvere il problema? Potresti provare a fare un chroot sul sistema ubuntu, e da li' passwd nomeutente. -- Hofstadter's Law: It always takes longer than you expect, even when you take into account Hofstadter's Law. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5465dcbf.3070...@gmail.com
Re: [OT] ubuntu e autenticazione
Luca Costantino ha scrito il 14/11/2014 alle 11:34: crea un nuovo utente con una password a caso ma nota, guarda qual e' il suo hash e copialo al posto della vecchia password in /etc/shadow in questo modo quest'ultimo errore *dovrebbe* risolversi... temo che debba inserire la hash della stessa password per funzionare altrimenti basterebbe inserire una hash qualunque... Grazie lo stesso Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5465dea5.5060...@riminilug.it
Re: [OT] ubuntu e autenticazione
onetmt ha scrito il 14/11/2014 alle 11:43: Potresti provare a fare un chroot sul sistema ubuntu, e da li' passwd nomeutente. giusto, questa potrebbe essere un'idea... Grazie mille, vi farò sapere Paolo -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5465ded2.9010...@riminilug.it
Re: [OT] ubuntu e autenticazione
Il 14 novembre 2014 11:51, Piviul piv...@riminilug.it ha scritto: temo che debba inserire la hash della stessa password per funzionare altrimenti basterebbe inserire una hash qualunque... dipende... magari l'errore e' dovuto al fatto che per ora non c'e' alcun hash... tentare costa poco o nulla :) -- Chiave pubblica http://luca.costantino.googlepages.com/luca.costantino.asc Prima di tutto vennero a prendere gli zingari e fui contento, perché rubacchiavano. Poi vennero a prendere gli ebrei e stetti zitto, perché mi stavano antipatici. Poi vennero a prendere gli omosessuali, e fui sollevato, perché mi erano fastidiosi. Poi vennero a prendere i comunisti, e io non dissi niente, perché non ero comunista. Un giorno vennero a prendere me, e non c'era rimasto nessuno a protestare. (Martin Niemöller) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/ca+vfgha_rikhodywvzqyf_fxjz_v96pvmkddm8kwd9vfxza...@mail.gmail.com
Re: [OT] ubuntu e autenticazione
Luca Costantino ha scrito il 14/11/2014 alle 11:54: Il 14 novembre 2014 11:51, Piviul piv...@riminilug.it ha scritto: temo che debba inserire la hash della stessa password per funzionare altrimenti basterebbe inserire una hash qualunque... dipende... magari l'errore e' dovuto al fatto che per ora non c'e' alcun hash... tentare costa poco o nulla :) hai ragione, tenterò Grazie mille Piviul PS Se qualcuno però sapesse qualcosa in più su come funziona il sistema di autenticazione su ubuntu... -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5465e1c3.4010...@riminilug.it
Re: [OT] ubuntu e autenticazione
Il 14/11/2014 11:28, Piviul ha scritto: Ciao a tutti, su un PC con ubuntu è stata persa la password dell'unico utente presente. Con debian in questi casi con una live cancello la password presente in /etc/shadow dell'utente dopodiché mi loggo sulla console inserendo semplicemente lo username poi eseguo passwd. Ho fatto la stessa cosa con ubuntu e non funziona: continua a chiedermi la password anche se in /etc/shadow la password non è più memorizzata. Ho trovato in rete che su Ubuntu bisogna andare nella console di ripristino, accedere come root ed eseguire il comando passwd nomeutente. Ho provato anche questa strada ma mi risponde errore nel token di autorizzazione (probabilmente perché in /etc/shadow la password l'ho cancellata...). Avete qualche notizia su come viene gestita l'autenticazione in Ubuntu o almeno su come possa risolvere il problema? Grazie Piviul http://xmodulo.com/how-to-reset-root-password-in-debian-ubuntu.html Luciano -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/546615db@modula.net
Re: [OT] ubuntu e autenticazione
Il 14/11/2014 11:43, onetmt ha scritto: Potresti provare a fare un chroot sul sistema ubuntu, e da li' passwd nomeutente. Grazie mille, ha funzionato! ...anche se rimane un mistero ?) Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/546651a5.9020...@riminilug.it
Re: [OT] ubuntu e autenticazione
Il 14/11/2014 11:54, Luca Costantino ha scritto: dipende... magari l'errore e' dovuto al fatto che per ora non c'e' alcun hash... tentare costa poco o nulla :) ho provato, non funziona... continua a dare un errore sul token di autenticazione. Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5466516c.9040...@riminilug.it
Re: consiglio su un sistema di autenticazione
Il 23/mar/2014 09:50 dea d...@corep.it ha scritto: Il Sat, 22 Mar 2014 22:06:33 +0100, Gollum1 scrisse Se non ho capito male anche monowall funziona nello stesso modo... PFSense è molto, molto, molto . molto più raffinato. Ok, funziona anche lui come una live da pendrive come faccio con monowall? Appena rientro me lo scarico e lo provo. Visto che il computer che vado ad usare ha più porte ethernet, posso fare in modo che una porta sia connessa al fornitore di connettività (un router satellitare in questo caso), una porta connessa ad uno switch senza nessuna autenticazione per una rete di servizio (da attaccarsi solo in caso di necessità), una porta connessa ad un A.P. che dovrà essere poi quello con gli accessi controllati. byez -- Gollum1
Re: consiglio su un sistema di autenticazione
Il 23/03/2014 10:33, Gollum1 ha scritto: Ok, funziona anche lui come una live da pendrive come faccio con monowall? Si, documentati sul sito, trovi tutto. Nel tuo caso, ordinado per la tua esperienza/necessità: (IMHO): 1. M0n0wall (BSD): sei pratico, sai come configurarla (richieste hw inferiori) 2. PFSense(BSD):E' basata su m0n0wall, ma più raffinata :-) io lo preferirei come Luca (dea) (richiede qualche risorsa hw in più) Dovresti trovarti comodo nel configurarla. 3. Zeroshell: distro leggera ed italiana :-) 4.Untangle NG (Debian): non l'ho usata, ma doveroso segnalarla essendo basata su Debian. Dario -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/532ee1dd.2040...@gmail.com
consiglio su un sistema di autenticazione
Ciao Lista, mi serve un consiglio... devo fornire un accesso wireless e diversi clienti, facendo in modo che solo questi possano eccedervi, in un'area grande come una piazza. Il problema è che c'é chi rema contro, se io fornisco l'accesso tramite wpa2, entro 2 ore, la password viene distribuita a tutte le persone che stanno lavorando sulla piazza, rendendo difficile la gestione della cosa (anche perché quelli a cui viene fornito ufficialmente pagano per questo accesso). mi chiedevo se potrebbe essere possibile mettere in piedi un computer a cui venga inviata la prima richiesta di connessione (un proxy server?) che comporti poi una autenticazione degli utenti presi da una lista, quindi ogni utente pagante avrà la sua password e ne sarà il diretto responsabile (kerberos?) per di più vorrei dare per ogni login/password un numero finito di accessi, nel senso... se si connettono cinque utenti con una coppia login/password, non deve essere possibile la connessione per un sesto utente. il link con la rete è a 10Mbps up 5Mbps down, quindi potrebbe essere fattibile usare un normalissimo pc con due porte 10/100/1000 da usare come proxy e server di autenticazione o potrebbe diventare un collo di bottiglia? la cosa necessaria è che sia un singolo computer, da mettere su un mezzo mobile, che verrà acceso e spento ogni giorno per circa un mese, dopo di che non servirà più nulla in quanto il lavoro sarà concluso. TnxByez -- Gollum1 Tesoro, dov'é il mio teoro... -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/CANTVqs-uu3Px+BnqYBU_zqop2ScFjM8RQMjougs3vPS=myy...@mail.gmail.com
Re: consiglio su un sistema di autenticazione
il giorno Sat, 22 Mar 2014 17:27:02 +0100 Gollum1 gollum1.smeag...@gmail.com ha scritto: Ciao Lista, mi serve un consiglio... devo fornire un accesso wireless e diversi clienti, facendo in modo che solo questi possano eccedervi, in un'area grande come una piazza. Il problema è che c'é chi rema contro, se io fornisco l'accesso tramite wpa2, entro 2 ore, la password viene distribuita a tutte le persone che stanno lavorando sulla piazza, rendendo difficile la gestione della cosa (anche perché quelli a cui viene fornito ufficialmente pagano per questo accesso). mi chiedevo se potrebbe essere possibile mettere in piedi un computer a cui venga inviata la prima richiesta di connessione (un proxy server?) che comporti poi una autenticazione degli utenti presi da una lista, quindi ogni utente pagante avrà la sua password e ne sarà il diretto responsabile (kerberos?) per di più vorrei dare per ogni login/password un numero finito di accessi, nel senso... se si connettono cinque utenti con una coppia login/password, non deve essere possibile la connessione per un sesto utente. il link con la rete è a 10Mbps up 5Mbps down, quindi potrebbe essere fattibile usare un normalissimo pc con due porte 10/100/1000 da usare come proxy e server di autenticazione o potrebbe diventare un collo di bottiglia? la cosa necessaria è che sia un singolo computer, da mettere su un mezzo mobile, che verrà acceso e spento ogni giorno per circa un mese, dopo di che non servirà più nulla in quanto il lavoro sarà concluso. penso che ti serva un captive portal e, tra le varie soluzioni per realizzarlo, potresti considerare zeroshell. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140322173423.22681...@anbi.homelinux.org
Re: consiglio su un sistema di autenticazione
** risposta OT, pericolo ! ** CIAO ! La mia risposta è OT perchè non riguarda il mondo Linux, ma ti consiglierei sinceramente l'uso di PFSense. E' un firewall/router fantastico basato su BSD, ha tutto quello che ti serve e la soluzione potrebbe proprio essere il captive portal usando dei codici monouso che abilitano il MAC del pc che usa quel codice per un tempo determinato (per esempio). PFSense è anche predisposto per l'alta affidabilità, se ti dovesse servire... usando due macchine PFSense connesse tra loro con protocollo CARP. CIAO Luca *** -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140322192319.m26...@corep.it