Re: [OT] internet banking e autenticazione biometrica
On Wed, Nov 10, 2021 at 09:11:21PM +0100, Davide Prina wrote: Ciao! [...] > > > Infine i dati biometrici sono rubati senza neanche troppa difficolta': > > > > https://www.schneier.com/blog/archives/2015/10/stealing_finger.html > > questo molto probabilmente lo avevo letto, ma me ne ero dimenticato. Anche io; ricordavo solo vagamente la vicenda. :) [...] > Comunque, dal mio punto di vista, se si iniziano a richiedere dati > biometrici per l'autenticazione [...] Non posso che concordare con quello che hai scritto! Ciao! C.
Re: [OT] internet banking e autenticazione biometrica
Il 10/11/21 20:40, Davide Prina ha scritto: a me hanno detto che le chiavette per l'accesso alla banca sono state tolte perché non sicure. Alcune banche ora forniscono chiavette dette smart (hanno un tastierino e non un singolo bottone). Mi hanno detto inoltre che il problema principale è che l'utente o chi può accedere alla chiavetta (attaccante) può generare a piacere tanti token. In realtà tutto è dipeso da direttive europee che hanno stabilito che il codice generato dai dispositivi OTP doveva essere legato alla singola operazione e non doveva poter essere usato per autorizzarne un'altra. Con la chiavetta, se intercetto il codice generato prima che l'utente lo usi, lo posso utilizzare per autorizzare un bonifico a mio favore con l'interno ammontare del conto. Con il nuovo sistema di generazione del codice, se provo ad utilizzarlo per un'altra operazione, questa non viene autorizzata. Questo ha portato al massiccio passaggio all'uso di app, meno costose dei dispositivi fisici e più facili da usare, con tutte le conseguenze del caso. Mandi. Paolo
Re: [OT] internet banking e autenticazione biometrica
Il 10/11/2021 20:52, Davide Prina ha scritto: https://taler.net/en/ tutte le transazioni devono passare dall'exchange, che può quindi de-anonimizzare quanto gli pare no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa ha firmato né a chi l'ha firmato. Ah, ok. Non avevo visto. Allora vale la pena di approfondire. In effetti mi pareva strano... :) Avrebbe senso se il "contante" anonimo potessi "spenderlo" verso altri utenti, anche offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con una carta NFC senza estrarla dal portafogli. no, l'anonimato non è assoluto. Se uno stato vuole investigare può sapere cosa hai speso e cosa hai comprato... o meglio i passaggi di denaro da un individuo ad un altro.Come ho detto, merita approfodimento. Poi bisognerà vedere se il bar sotto casa l'accetterà... :) Purtroppo l'adozione rischia di essere lo scoglio sul quale si infrangono bei progetti: se un sistema (soprattutto di pagamento) non si integra bene nel workflow dell'utente (p.e. interfacciandosi al registratore di cassa), non verrà adottato e al massimo rimarrà un gadget "di nicchia". -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 21:19, cage wrote: On Tue, Nov 09, 2021 at 12:32:20PM +, MAURIZI Lorenzo wrote: In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca. Il problema e' che - se invece usi questo sistema di autenticazione (le impronte digitali, o il volto o altro)- per varie funzioni (banca, entrare a casa, aprire il password manager, cassaforte, accesso al database aziendale, ecc)- ti trovi nella stessa situazione di chi usa la stessa password per siti diversi. Forzato uno, forzate tutte. infatti Infine i dati biometrici sono rubati senza neanche troppa difficolta': https://www.schneier.com/blog/archives/2015/10/stealing_finger.html questo molto probabilmente lo avevo letto, ma me ne ero dimenticato. Spesso mi guardo il blog di Schneier, al venerdì pubblica un articolo che non c'entra nulla con la sicurezza, ma tutti possono commentarlo con notizie che Schneier non ha ancora riportato nel suo blog. Interessante leggere questi commenti, poiché partecipano diversi esperti di sicurezza anche per scambiarsi opinioni tra loro. Comunque, dal mio punto di vista, se si iniziano a richiedere dati biometrici per l'autenticazione si creerà sempre più un mercato di questi dati rubati e quindi aumenteranno i "furti". Essendo tutti questi dati non bloccabili/sostituibili, una volta che te li hanno rubati sei "fritto" ... a meno che non fai un intervento chirurgico per sostituirti le impronte digitali, sostituirti le cornee o fare un intervento plastico facciale... L'unica strada che vedo è vietare l'uso di dati biometrici di propri clienti per qualsiasi attività. In questo modo il mercato diventa meno appetibile e i furti meno probabili. Ciao Davide -- Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 14:43, Piviul wrote: Il 09/11/21 23:03, Davide Prina ha scritto: basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io fino a prova contraria continuo a credere che non sia impresa tanto semplice da un'impronta lasciata su un bicchiere ho preso tre link a caso da una ricerca fatta al momento. Tempo fa avevo letto come poter creare un dito finto a partire da un'impronta digitale lasciata su una superficie, probabilmente era un articolo di qualche ricercatore. Probabilmente se cerchi su arxiv trovi vari studi proposti per poter clonare una componente biometrica e usarla per un riconoscimento che usi tale componente. Ciao Davide -- What happened in 2013 couldn't have happened without free software (He credited free software for his ability to help disclose the U.S. government's far-reaching surveillance projects). Edward Snowden
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 08:26, Diego Zuccato wrote: Il 09/11/2021 23:04, Davide Prina ha scritto: https://taler.net/en/ tutte le transazioni devono passare dall'exchange, che può quindi de-anonimizzare quanto gli pare no l'exchange fa una blindly signed[¹] e quindi non conosce i dettagli per poter de-anonimizzare quanto ha firmato. L'exchanger non sa né cosa ha firmato né a chi l'ha firmato. Avrebbe senso se il "contante" anonimo potessi "spenderlo" verso altri utenti, anche offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con una carta NFC senza estrarla dal portafogli. no, l'anonimato non è assoluto. Se uno stato vuole investigare può sapere cosa hai speso e cosa hai comprato... o meglio i passaggi di denaro da un individuo ad un altro. Ciao Davide [¹] https://en.wikipedia.org/wiki/Blind_signature -- I lati oscuri del secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web Petizione contro il secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
On 10/11/21 08:17, Diego Zuccato wrote: Il 09/11/2021 22:26, Davide Prina ha scritto: Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza che stai usando... e più numeri vengono intercettati e maggiore è la probabilità di azzeccare. Scusa, ma questo proprio non sta in piedi. Per lo meno per TOTP e HOTP. Entrambi si basano su troncamento di hash crittografici. a me hanno detto che le chiavette per l'accesso alla banca sono state tolte perché non sicure. Alcune banche ora forniscono chiavette dette smart (hanno un tastierino e non un singolo bottone). Mi hanno detto inoltre che il problema principale è che l'utente o chi può accedere alla chiavetta (attaccante) può generare a piacere tanti token. Io avevo ipotizzato che gli attaccanti facessero qualcosa del genere: l'algoritmo è pubblico e quindi puoi usarlo a tuo piacere. Ti crei un insieme di sequenze future generate a partire da N semi e in base agli TOTP che intercetti, in determinati tempi, li verifichi con la tua griglia, se trovi delle corrispondenze, allora puoi ipotizzare di aver individuato la sequenza corretta. Più token intercetti nel tempo e maggiori probabilità hai di individuare la sequenza corretta... se è tra quelle da te calcolata nella griglia. In questo modo se l'attaccante sta eseguendo l'attacco su una sola vittima, allora può adagio adagio scartare le sequenze non corrispondenti e sostituirle con nuove. Non ho idea della quantità di calcoli necessari per ottenere qualcosa del genere e la probabilità di poter azzeccare la sequenza corretta. Perfino con MD5 (considerato non sicuro) non è semplice risalire dall'hash alla preimmagine. però dipende dall'uso, l'MD5 non è considerato sicuro se usato per calcolare l'hash di un file, questo perché è dimostrato che è possibile creare un altro file e far sì che l'hash corrisponda a quello del file di origine. Cioè è "facile" trovare/creare collisioni. Ciao Davide -- Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
Il 10/11/21 14:43, Piviul ha scritto: > Il 09/11/21 23:03, Davide Prina ha scritto: >> On 09/11/21 14:56, Piviul wrote: >>> Il 09/11/21 14:39, Mirco Piccin ha scritto: >> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. >> >>> su questo posso essere d'accordo anche se temo che in ogni caso >>> l'impronta usata su un bicchiere non sia utilizzabile come impronta >>> per l'autenticazione, mi sembra un po' fantascientifica... >> >> basta cercare su internet e trovi diversi metodi: >> https://www.instructables.com/How-to-replicate-fingerprints/ >> https://www.wikihow.com/Fake-Fingerprints >> https://www.youtube.com/watch?v=SnEkg-SWDZs > > molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra > si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io > fino a prova contraria continuo a credere che non sia impresa tanto > semplice da un'impronta lasciata su un bicchiere costruire un finto dito > tridimensionale atto alla autenticazione o un token di autorizzazione da > una app... > > Piviul > Sono anch'io scettico sulla sicurezza dell'uso dei dati biometrici. Aggiungo questo post di Attivissimo, nel quale riporta la notizia che è possibile risalire alle impronte digitali da una semplice foto (del 2014)... e qualcuno poi da questo potrebbe riprodurre (e usare) quelle impronte. https://attivissimo.blogspot.com/2021/05/malvivente-condannato-grazie-una-foto.html Mario
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 23:03, Davide Prina ha scritto: On 09/11/21 14:56, Piviul wrote: Il 09/11/21 14:39, Mirco Piccin ha scritto: Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs molto interessanti ma tutti e 3 i metodi che fra le altre cose mi sembra si equivalgano, partono dal dito non da un'impronta su un bicchiere. Io fino a prova contraria continuo a credere che non sia impresa tanto semplice da un'impronta lasciata su un bicchiere costruire un finto dito tridimensionale atto alla autenticazione o un token di autorizzazione da una app... Piviul
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 22:26, Davide Prina ha scritto: Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza che stai usando... e più numeri vengono intercettati e maggiore è la probabilità di azzeccare.Scusa, ma questo proprio non sta in piedi. Per lo meno per TOTP e HOTP. Entrambi si basano su troncamento di hash crittografici. Perfino con MD5 (considerato non sicuro) non è semplice risalire dall'hash alla preimmagine. Se ne hai solo una parte, il numero di preimmagini da calcolare cresce in modo esponenziale. Semplicemente non c'è abbastanza energia nel Sole per un calcolo del genere :) Come non c'è per il brute force di una chiave segreta a 256bit. La possibilità di beccare il seme tirando ad indovinare, beh... lasciami dire che avresti più possibilità di vincere 5 cinquine di fila al lotto. :) -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 23:04, Davide Prina ha scritto: Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. ma allora meglio attendere quando sarà pronto GNU Taler e usare quello https://taler.net/en/Uhm... Ad una rapida occhiata qualcosa non mi torna (strano, però, per qualcosa sotto il "cappello" GNU): mi pare identico al sistema del Bancomat (tutte le transazioni devono passare dall'exchange, che può quindi de-anonimizzare quanto gli pare)... Avrebbe senso se il "contante" anonimo potessi "spenderlo" verso altri utenti, anche offline. Altrimenti l'anonimato è lo stesso che posso avere pagando con una carta NFC senza estrarla dal portafogli. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 15:06, Piviul ha scritto: beh in molti fanno il backup del proprio telefono sul cloud dell'azienda che ha fatto il sistema operativo del proprio telefono... La gestione delle credenziali biometriche è on-device e i template non dovrebbero essere esportabili. Per questo viene usata secure enclave, tpm e simili. Al limite, quello che viene esportato è un "blob" criptato con una chiave generata sul dispositivo e che non può essere esportata. Se ti serve l'autenticazione biometrica su un altro dispositivo, devi rifare l'enroll e cambierà la "firma" vista dal sistema remoto. grazie mille, considerazioni interessanti... anche se credo che creare un token di autorizzazione per il telefono partendo da un'impronta su un bicchiere sia un'impresa abbastanza complessa.L'impronta è la cosa più debole: dei ricercatori hanno creato un set di "impronte master" (mi pare una ventina... al momento non trovo il link) in grado di matchare più dell'80% dei template. In pratica, con quelle impronte hai ottime probabilità di accedere a qualsiasi telefono. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 15:02, Diego Zuccato wrote: Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. ma allora meglio attendere quando sarà pronto GNU Taler e usare quello https://taler.net/en/ Ciao Davide -- I didn't use Microsoft machines when I was in my operational phase, because I couldn't trust them. Not because I knew that there was a particular back door or anything like that, but because I couldn't be sure. Edward Snowden
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 14:56, Piviul wrote: Il 09/11/21 14:39, Mirco Piccin ha scritto: Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... basta cercare su internet e trovi diversi metodi: https://www.instructables.com/How-to-replicate-fingerprints/ https://www.wikihow.com/Fake-Fingerprints https://www.youtube.com/watch?v=SnEkg-SWDZs Comunque, leggendo articoli di esperti di sicurezza, ti dimostrano che le impronte sono facilmente clonabili, anche a partire dal tuo cellulare che ne è, di solito, pieno. Ciao Davide -- I didn't use Microsoft machines when I was in my operational phase, because I couldn't trust them. Not because I knew that there was a particular back door or anything like that, but because I couldn't be sure. Edward Snowden
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 15:14, Bertorello, Marco wrote: Il 09/11/2021 13:07, Diego Zuccato ha scritto: Il problema dell'autenticazione biometrica è che non puoi revocare le credenziali in caso di compromissione... Credo ci sia un po' di confusione. l'accesso tramite dati biometrici riguarda l'app di quel dispositivo, non del conto in banca. il problema è che se ti rubano i tuoi dati biometrici non li puoi cambiare o revocare. Una volta che te li hanno rubati non è più possibile usarli in sicurezza, qualsiasi dato biometrico sia. Poi metti il caso che per un incidente o altro ho i dati biometrici usati dalla banca alterati o non usabili... non posso più accedere al mio conto? Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione a quel dispositivo, non delle credenziali biometriche. Inoltre, si spera, che prima di accedere tramite biometria all'app della banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim (con cui ricevere l'sms per resettare le credenziali), ecc... Come sempre la sicurezza non e' un prodotto, ma una serie di strati messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere l'obiettivo. certamente, usando più sistemi contemporaneamente puoi rendere più difficile la vita all'attaccante. Ma se uno di questi sistemi si basa su un dato immodificabile, come i dati biometrici, una volta scoperto dall'attaccante hai perso un livello... e non solo per l'accesso dove è stato compromesso, ma per qualsiasi accesso che voglia usare i dati biometrici. Però il problema è che spesso si aggiungono tanti livelli e si pensa di aver fatto un sistema sicuro, ma in realtà non si è pensato nel suo insieme e non si sono pensati dei punti deboli che permettono di bypassare tutte le misure si sicurezza adottate. Ad esempio in questo articolo si mostra come il 30 minuti un esperto di sicurezza a cui è stato consegnato un laptop con TPM, UEFI SecureBoot, windows, ... è riuscito a ricavare la chiave privata del TPM e avere un accesso alla rete aziendale. https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/ Personalmente trovo piu' difficile "copiare" un'impronta digitale che non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di non dover ricordare mille codici di sblocco (che giustamente devono essere differenti una dall'altra). mi è venuto in mente un articolo in ci descriveva una macchina di lusso che poteva essere messa in funzione solo con l'impronta digitale del proprietario. Hanno rubato la macchina ad uno dei "fortunati" compratori e gli hanno tagliato un dito per poter scappare con essa. In ogni caso se il tuo dispositivo è compromesso l'attaccante può rubarti il dato biometrico rilevato dal dispositivo stesso e quindi non ha bisogno del bicchiere o di altro. Una volta che ti ha rubato la tua impronta digitale, puoi cambiare sim/dispositivo o quello che vuoi, ma ormai la tua impronta è nelle mani dell'attaccante Inoltre per molti dati biometrici è dimostrata la facilità di rubarli e clonarli molto facilmente. Ad esempio il riconoscimento facciale può essere derivato da 1 o più foto di una persona. L'UE sta per approvare un nuovo regolamento sulla privacy, oltre il GDPR, che vieterà l'uso del riconoscimento facciale indiscriminato (ad esempio non potrà essere usato in luoghi pubblici, negozi, ...), se non da forze dell'ordine e solo per casi specifici. Non si potrà neanche usare algoritmi per determinare sesso, religione, ... di gruppi di persone. Purtroppo l'uso dei dati biometrici per l'accesso ai conti on-line delle banche è presente nei regolamenti bancari rilasciati da BCE o altro ente sovranazionale (ora non ricordo). Non so se le due cose potrebbero essere in contrasto o meno. Ciao Davide -- Fate una prova di guida ... e tenetevi la macchina!: http://linguistico.sf.net/wiki/doku.php?id=usaooo2 Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 15:13, Paolo Redælli wrote: Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia. gli OTP sono soltanto sequenze di valori pseudocasuali determinate da un seme. Il valore della sequenza è preso in base al tempo in cui lo interroghi. Se ti vengono intercettati alcuni OTP è possibile ipotizzare la sequenza che stai usando... e più numeri vengono intercettati e maggiore è la probabilità di azzeccare. Ciao Davide -- I didn't use Microsoft machines when I was in my operational phase, because I couldn't trust them. Not because I knew that there was a particular back door or anything like that, but because I couldn't be sure. Edward Snowden
Re: R: [OT] internet banking e autenticazione biometrica
On Tue, Nov 09, 2021 at 12:32:20PM +, MAURIZI Lorenzo wrote: Ciao! > In caso di > violazione (furto del telefono e dell'impronta sul bicchiere) > basterà revocare il dispositivo, che verrà disattivato dalla banca. Se usi l'impronta digitale solo ed esclusivamente per una funzione concordo, ma fino ad un certo punto, vedi sotto. Il problema e' che - se invece usi questo sistema di autenticazione (le impronte digitali, o il volto o altro)- per varie funzioni (banca, entrare a casa, aprire il password manager, cassaforte, accesso al database aziendale, ecc)- ti trovi nella stessa situazione di chi usa la stessa password per siti diversi. Forzato uno, forzate tutte. Quindi in caso di "furto" (diciamo forse, registrazione?) dell'impronta digitale, devi chiedere di disattivare il telefono, il tablet, cambiare (con una delle altre dita!) la chiave biometrica della serratura, cambiare tutte le password del password manager e forse cercare un nuovo lavoro. :D Inoltre se ti rubano l'impronta digitale e un' altra banca ti "obbliga" (da contratto) ad usare l'impronta digitale che sai gia' esserti stata rubata, che fai? Sei di fronte ad un dilemma morale, economomico, e forse anche in violazione del contratto perche' sai che stai dando delle credenziali gia' insicure. Infine i dati biometrici sono rubati senza neanche troppa difficolta': https://www.schneier.com/blog/archives/2015/10/stealing_finger.html Tutto questo, come sempre, a mio avviso. :) Ciao! C.
Re: [OT] internet banking e autenticazione biometrica
Il giorno mar, 09/11/2021 alle 15.10 +0100, Filippo Dal Bosco - ha scritto: > Il giorno Tue, 9 Nov 2021 14:56:05 +0100 > Piviul ha scritto: > > > > > > > su questo posso essere d'accordo anche se temo che in ogni caso > > l'impronta usata su un bicchiere non sia utilizzabile come impronta > > per l'autenticazione, mi sembra un po' fantascientifica... > > > secondo te come si fanno a rilevare le impronte digitali e poi a > confrontarle con una database in corso di una indagine giudiziaria ? > > Stesso metodo per prenderle da un oggetto che hai toccato e poi > usarle. In realtà non è proprio la stessa cosa; il confronto delle impronte digitali si fa su delle immagini, mentre i sensori attualmente montati sui cellulari e sui pc più moderni del mio sono capacitivi, il che significa che devi trasferire l'immagine rilevata sul bicchiere in forma tridimensionale - alcuni hanno usato una stampante 3D per farlo - non certo una FDM, per intenderci. Per l'internet banking, io lascerei comunque perdere il cellulare in toto. > > Solo la "foto" della retina è difficile da ottenere in modo > fraudolento > a meno che un oculista che ti fa l' OCT ( scansione laser della > retina) non lo ceda ad altri >
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 09:46, Felipe Salvador ha scritto: > On Tue, Nov 09, 2021 at 09:01:44AM +0100, Piviul wrote: >> >>> al primo accesso scegli il tuo codice personale (pin); >>> associa la tua impronta digitale o il riconoscimento del volto.>>> >>> Da questo momento basterà un tocco per autorizzare gli accessi su >>> internet banking o le operazioni che esegui e non sarà più >>> necessario richiedere il codice di conferma SMS. >> >> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba >> i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia >> nulla... o mi sbaglio? > > Ciao, > non usare il telefono per operazioni sul tuo conto, indipendentemente > dal metodo di autenticazione.> Perché le "app" rastrellano dati personali > come se non ci fosse un > domani. Io credo che se una banca decide di rastrellare i tuoi dati con l'app probabilmente fa la stessa cosa con l'home banking da pc e quindi il problema si risolve solo cambiando banca o andando allo sportello e al bancomat Un'altra cosa da fare anche se ha un minimo costo, sia quella di attivare l'avviso via sms di tutte le operazioni che riguardano il proprio conto in uscita di qualsiasi tipo ciao pacmo >
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 13:32, MAURIZI Lorenzo ha scritto: Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza. beh in molti fanno il backup del proprio telefono sul cloud dell'azienda che ha fatto il sistema operativo del proprio telefono... il se lo possiamo anche omettere o almeno spostare tipo ...se è vero che li criptano o che se sono accessibili solo a te... Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso. In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca. Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca. In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata. E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone. grazie mille, considerazioni interessanti... anche se credo che creare un token di autorizzazione per il telefono partendo da un'impronta su un bicchiere sia un'impresa abbastanza complessa. Grazie a tutti Piviul
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 15:36 Paolo Redælli ha scritto: Il 09/11/21 15:20, Filippo Dal Bosco - ha scritto: Il giorno Tue, 9 Nov 2021 15:13:34 +0100 Paolo Redælli ha scritto: Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia. l' autenticazione con CIE ( o SPID) sarebbe ottima. Al momento l' unica banca che propone lo SPID è Fineco Ahimè lo SPID prevede l'uso di applicazioni proprietarie che girano solo su sistemi proprietari e si rifiutano di girare sulle versioni libere o de-googlizzate degli smartphone. Inoltre anche l'autenticazione SPID potrebbe essere svolta usando le OTP, ma nessun fornitore lo fa. E comunque, che io sappia, fineco regala lo SPID ai clienti ma non permette di usarlo per autenticarsi al proprio conto. ciao Christian
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 15:20, Filippo Dal Bosco - ha scritto: Il giorno Tue, 9 Nov 2021 15:13:34 +0100 Paolo Redælli ha scritto: Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia. l' autenticazione con CIE ( o SPID) sarebbe ottima. Al momento l' unica banca che propone lo SPID è Fineco Ahimè lo SPID prevede l'uso di applicazioni proprietarie che girano solo su sistemi proprietari e si rifiutano di girare sulle versioni libere o de-googlizzate degli smartphone. Inoltre anche l'autenticazione SPID potrebbe essere svolta usando le OTP, ma nessun fornitore lo fa.
Re: [OT] internet banking e autenticazione biometrica
Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. Un po' quello che fanno alcune app di pagamento, che automatizzano il prelievo. Se uno ti buca il cell, al limite ti porta via due settimane di budget. Non è bello ma non è come se ti svuotasse tutto il conto coi risparmi di una vita... Il 09/11/2021 14:56, Piviul ha scritto: Il 09/11/21 14:39, Mirco Piccin ha scritto: Ciao Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? "se uno conosce il tuo pin" già sei a posto, direi. beh, qui era un po' il senso del thread... secondo voi che sicurezza hanno messo in piedi? Se uno ruba i tuoi dati biometrici poi può riuscire ad autenticarsi con l'internet banking? Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale... su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... Comunque non preoccupatevi non penso proprio di utilizzare il cellulare per l'internet banking e nemmeno per effettuare pagamenti, non è nelle mie corde, non mi sembra così faticoso tirare fuori il portafoglio... Piviul -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
Il giorno Tue, 9 Nov 2021 15:13:34 +0100 Paolo Redælli ha scritto: > > Una soluzione valida sarebbero la OTP con applicazioni libere, ma > quasi nessuno le usa, che io sappia. l' autenticazione con CIE ( o SPID) sarebbe ottima. Al momento l' unica banca che propone lo SPID è Fineco -- Filippo
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 15:02, Diego Zuccato ha scritto: Beh, usare il cell per pagare è decisamente una comodità. Basta prendere precauzioni: p.e. non tieni il conto principale in gestione dal cell, ma solo uno secondario sul quale trasferisci solo quello che prevedibilmente ti serve nella settimana/mese. Un po' quello che fanno alcune app di pagamento, che automatizzano il prelievo. Se uno ti buca il cell, al limite ti porta via due settimane di budget. Non è bello ma non è come se ti svuotasse tutto il conto coi risparmi di una vita... a me non piacerebbe, mi piace avere memoria delle cose che faccio e fare un'azione fisica mi aiuta a ricordarne l'esistenza, non ne sento proprio la necessità. Ma del resto è cosa nota: de gustibus non est disputandum. Piviul
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/2021 13:07, Diego Zuccato ha scritto: Il problema dell'autenticazione biometrica è che non puoi revocare le credenziali in caso di compromissione... Credo ci sia un po' di confusione. l'accesso tramite dati biometrici riguarda l'app di quel dispositivo, non del conto in banca. Se perdi o ti rubano il dispositivo, basta che revochi l'autorizzazione a quel dispositivo, non delle credenziali biometriche. Inoltre, si spera, che prima di accedere tramite biometria all'app della banca, tu debba anche in qualche modo, sbloccare il telefono. E la sim (con cui ricevere l'sms per resettare le credenziali), ecc... Come sempre la sicurezza non e' un prodotto, ma una serie di strati messi uno sopra l'altro. Piu' ne metti piu' rendi difficile raggiungere l'obiettivo. Personalmente trovo piu' difficile "copiare" un'impronta digitale che non un PIN e la comodita' di autenticarmi con l'impronta vale la pena di non dover ricordare mille codici di sblocco (che giustamente devono essere differenti una dall'altra). Che poi alla fine siamo esseri umani, non progettati per memorizzare queste cose, ci si ritrova ad usare una data come pin, prima scritta in un senso e poi in un altro, o ad aver post-it nel portafogli o salvati sotto contatti con nomi strani e dover fare copia/incolla in continuazione (che sul telefono non e' proprio comodissimo). saluti, -- Marco Bertorello https://www.marcobertorello.it OpenPGP_0x5B7B17E82E9F51CE.asc Description: OpenPGP public key OpenPGP_signature Description: OpenPGP digital signature
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 14:55, pinguino ha scritto: Il buon vecchio SMS One-time sembra che funziona ancora bene. Cioè quello cambia ogni volta che si accede e vale solo per pochi minuti. Ha un costo di pochi cents, ma forse vale la pena. Altrove (FSFE Milano) c'è chi lavora nella telefonia ed evita come la peste gli SMS che clonare una SIM ci vuole un attimo. Una soluzione valida sarebbero la OTP con applicazioni libere, ma quasi nessuno le usa, che io sappia.
Re: [OT] internet banking e autenticazione biometrica
Il giorno Tue, 9 Nov 2021 14:56:05 +0100 Piviul ha scritto: > > > su questo posso essere d'accordo anche se temo che in ogni caso > l'impronta usata su un bicchiere non sia utilizzabile come impronta > per l'autenticazione, mi sembra un po' fantascientifica... > secondo te come si fanno a rilevare le impronte digitali e poi a confrontarle con una database in corso di una indagine giudiziaria ? Stesso metodo per prenderle da un oggetto che hai toccato e poi usarle. Solo la "foto" della retina è difficile da ottenere in modo fraudolento a meno che un oculista che ti fa l' OCT ( scansione laser della retina) non lo ceda ad altri -- Filippo
Re: [OT] internet banking e autenticazione biometrica
Il 09/11/21 14:39, Mirco Piccin ha scritto: Ciao Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? "se uno conosce il tuo pin" già sei a posto, direi. beh, qui era un po' il senso del thread... secondo voi che sicurezza hanno messo in piedi? Se uno ruba i tuoi dati biometrici poi può riuscire ad autenticarsi con l'internet banking? Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale... su questo posso essere d'accordo anche se temo che in ogni caso l'impronta usata su un bicchiere non sia utilizzabile come impronta per l'autenticazione, mi sembra un po' fantascientifica... Comunque non preoccupatevi non penso proprio di utilizzare il cellulare per l'internet banking e nemmeno per effettuare pagamenti, non è nelle mie corde, non mi sembra così faticoso tirare fuori il portafoglio... Piviul
Re: [OT] internet banking e autenticazione biometrica
On 09/11/21 13:07, Diego Zuccato wrote: > Il problema dell'autenticazione biometrica è che non puoi revocare le > credenziali in caso di compromissione... > > Il 09/11/2021 14:39, Mirco Piccin ha scritto: >> Ciao >> Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? >> >> "se uno conosce il tuo pin" già sei a posto, direi. >> Rubarti i dati biometrici... impronta dal bicchiere... mi sembra >> esagerato. >> E' molto più semplice l'ingegneria sociale... >> >> My 2 cents... >> M >> > Buongiorno Lista, Il buon vecchio SMS One-time sembra che funziona ancora bene. Cioè quello cambia ogni volta che si accede e vale solo per pochi minuti. Ha un costo di pochi cents, ma forse vale la pena. Grazie Saluti Claudio -- https://www.linkedin.com/in/claudio-sandrone
R: [OT] internet banking e autenticazione biometrica
Quello che fanno queste app bancarie è usare le API di autenticazione biometrica che vengono usate già dallo smartphone per sbloccarlo. Se poi il S.O. del telefono raccoglie questi dati su un server dell'azienda... ai posteri l'ardua sentenza. Se vengono "rubate" le autenticazioni biometriche, tipo dal bicchiere al bar, allora occorre rubare anche il telefono che ha registrati quei dati biometrici, perché è l'accoppiata dispositivo-credenziali che permette l'accesso. In caso di violazione (furto del telefono e dell'impronta sul bicchiere) basterà revocare il dispositivo, che verrà disattivato dalla banca. Per quello che riguarda l'autenticazione tramite faccia, in molti hanno provato a sbloccare il FaceId un iPhone con una foto e sembra che non ci si riesca. In ogni caso è sempre la coppia faccia-telefono che va comunque rubata. E se rubata, può essere revocata. E se avete tanti soldi da giustificare il furto dell'impronta da un bicchiere stile 007, o la ricostruzione 3d della vostra faccia... allora forse ci vorrebbe qualcosa di diverso che accedere al conto tramite smartphone. LM -Messaggio originale- Da: Piviul Inviato: martedì 9 novembre 2021 09:02 A: debian-italian Oggetto: [OT] internet banking e autenticazione biometrica Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e nemmeno su debian però riguarda un mondo strettamente interconnesso... Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad installare la loro app sul cellulare in modo da non stare a leggere i codici per le operazioni bancarie dall'internet banking ma autenticare l'operazione direttamente con i dati biometrici. Questo è quello che dice letteralmente: > al primo accesso scegli il tuo codice personale (pin); associa la tua > impronta digitale o il riconoscimento del volto. > > Da questo momento basterà un tocco per autorizzare gli accessi su > internet banking o le operazioni che esegui e non sarà più necessario > richiedere il codice di conferma SMS. Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? Grazie Piviul
Re: [OT] internet banking e autenticazione biometrica
Il problema dell'autenticazione biometrica è che non puoi revocare le credenziali in caso di compromissione... Il 09/11/2021 14:39, Mirco Piccin ha scritto: Ciao Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? "se uno conosce il tuo pin" già sei a posto, direi. Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale... My 2 cents... M -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: [OT] internet banking e autenticazione biometrica
Ciao > > Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba > > i tuoi dati biometrici ti può svuotare il conto senza che tu ne > > sappia nulla... o mi sbaglio? "se uno conosce il tuo pin" già sei a posto, direi. Rubarti i dati biometrici... impronta dal bicchiere... mi sembra esagerato. E' molto più semplice l'ingegneria sociale... My 2 cents... M
Re: [OT] internet banking e autenticazione biometrica
Il giorno Tue, 9 Nov 2021 09:01:44 +0100 Piviul ha scritto: > > > Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba > i tuoi dati biometrici ti può svuotare il conto senza che tu ne > sappia nulla... o mi sbaglio? per operare con le banche è estremante consigliato NON usare app dello smartphone. le impronte digitali possono essere facilmente "rubate". Ad esempio al bar tu bevi da un bicchiere, lasci il bicchiere con le tue impronte che qualcuno può copiare. l' unico metodo biometrico abbastanza sicuro è la lettura della retina, non del volto. Il tuo volto può essere fotografato e la foto potrebbe essere usata per rubare i tuoi soldi. Io penserei a cambiare la banca che mi propone simili facezie. -- Filippo
Re: [OT] internet banking e autenticazione biometrica
On Tue, Nov 09, 2021 at 09:01:44AM +0100, Piviul wrote: > Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e > nemmeno su debian però riguarda un mondo strettamente interconnesso... > > Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad > installare la loro app sul cellulare in modo da non stare a leggere i > codici per le operazioni bancarie dall'internet banking ma autenticare > l'operazione direttamente con i dati biometrici. > > Questo è quello che dice letteralmente: > > > al primo accesso scegli il tuo codice personale (pin); > > associa la tua impronta digitale o il riconoscimento del volto. > > > > Da questo momento basterà un tocco per autorizzare gli accessi su > > internet banking o le operazioni che esegui e non sarà più > > necessario richiedere il codice di conferma SMS. > > Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba > i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia > nulla... o mi sbaglio? Ciao, non usare il telefono per operazioni sul tuo conto, indipendentemente dal metodo di autenticazione. Per prevenire quello che tu stesso hai ipotizzato. Perché le "app" rastrellano dati personali come se non ci fosse un domani. Perché loro si fanno garanti della sicurezza delle loro "app", ma il modello di sviluppo è rotto fin dal principio. Saluti > Grazie > > Piviul -- Felipe Salvador
[OT] internet banking e autenticazione biometrica
Ciao a tutti, scusate l'OT, l'argomento non è sul software libero e nemmeno su debian però riguarda un mondo strettamente interconnesso... Mi è arrivata una pubblicità dalla mia banca in cui mi spronava ad installare la loro app sul cellulare in modo da non stare a leggere i codici per le operazioni bancarie dall'internet banking ma autenticare l'operazione direttamente con i dati biometrici. Questo è quello che dice letteralmente: al primo accesso scegli il tuo codice personale (pin); associa la tua impronta digitale o il riconoscimento del volto. Da questo momento basterà un tocco per autorizzare gli accessi su internet banking o le operazioni che esegui e non sarà più necessario richiedere il codice di conferma SMS. Ma può essere pericolosissimo no? Se uno conosce il tuo pin e ti ruba i tuoi dati biometrici ti può svuotare il conto senza che tu ne sappia nulla... o mi sbaglio? Grazie Piviul
