Re: [ml] lezioni di sicurezza dal Garante della Privacy

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2008 ml@sikurezza.org
Soggetto: Re: [ml] lezioni di sicurezza dal Garante della Privacy
Mittente: Stefano Zanero
Data: Tue, 18 Mar 2008 23:27:30 +0100 (CET)

Sandro Fontana wrote:

Cerco di rispondere a Stefano Zanero (che speravo di incontrare al
convegno IEEE a Milano- sara' per la prox),


Quando ho visto il nome sul registro m'e' venuto un coccolone :)

Il cuore della tua riflessione e':

anche in relazione alle conoscenze acquisite in base al progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del trattamento,
in modo da ridurre al minimo, [...] i rischi di distruzione o perdita, anche
accidentale, dei dati stessi,di accesso non autorizzato o di trattamento
non consentito o non conforme alle finalità della raccolta.

E fino a qui si tratta di buoni sentimenti... :-) Infatti nessuno ha detto che tu non possa, SE ti viene cagionato un danno, rivalerti su quel titolare.

Se la legge sulla privacy (permettetemi di chiamarla brevemente cosi') non e' sufficiente per indirizzare chi tratta dati personali e sensibili (come fa la banca, quando mantiene traccia di chi e cosa pago)

Sono dati personali: in generale direi che e' molto dubbio che siano sensibili.

Vorrei, anzi, che persone con la tua credibilita' sul campo,
dicano la loro su questo tipo di atteggiamento che --spero tu sia
d'accordo con me--  e' assolutamente deleterio e da condannare.

Non sono un fan della regolamentazione in termini di sicurezza. Francamente non penso che un intervento del Garante possa aiutare.

Se devo dire la verita', un PIN di 5 cifre mi fa un po' senso, ma per una funzionalita' puramente di interrogazione si puo' discutere se sia sufficiente o no. Io direi di no. Tu diresti di no. Ma non e' una cosa cosi' "clear cut" da spingere il Garante ad un intervento.

In tutto cio', mi sembra comunque che l'Art. 31 chieda di ridurre al
minimo i  rischi di accesso non autorizzato.

Relativamente al tipo di dati a cui si da accesso. L'accesso ad un singolo record di dati non sensibili in pura lettura puo' essere valutato "non grave". Ripeto, non dico che io sia d'accordo con la valutazione, ma non mi pare cosi' drammatica come la dipingi. In fondo e' il tuo conto corrente, quindi m'importa poco (scherzo :)

nell'Art.32 dice che "il fornitore di un servizio di comunicazione elettronica accessibile al pubblico


La banca non e' un fornitore di un servizio di comunicazione elettronica.

Ora, che una password di accesso ad un sistema on-line o meno debba
essere di lunghezza minima 8 caratteri

Io non sono d'accordo. Se il sistema e' un sistema puramente informativo con dati poco rilevanti, per quanto mi riguarda un pin di 4 cifre numeriche puo' anche bastare. Dipende da cosa devi proteggere :)

Certo, se l'ambito di accesso fosse esclusivamente "tre tentativi + blocco",
l'accesso al mio conto lo reputerei sicuro anche io.
Ma non credo sia questo il metodo usato da chi tenta di accedere ai sistemi.

No, infatti di solito violano l'applicazione con uno degli innumerevoli bachi che avra', e delle password se ne strafregano :)

Mi spiego: tu ipotizzi uno scenario di cracking offline. Io direi che se qualcuno arriva al db delle password, ha gia' violato il sistema di autenticazione della WA, quindi ormai delle password non se ne fa nulla.

State proprio guardando tutti quanti la minaccia sbagliata :)

Forse mi sto sbagliando, ma perche' nella progettazione di un sistema,
da anni si usano card/token OTP, credenziali X.509, passphrase
(e non  password) da decine di caratteri alfanumerici/speciali e negli ultimi
anni si stanno diffondendo le smart card crittografiche

Assi' ? In che nazione vivi ? Io sono circondato da password di 6 caratteri... :p

Inoltre mi permetto di dubitare che ci siano ancora sistemi che
permettano di avere, in modo nativo, un meccanismo di accesso via password
di soli 5 caratteri numerici

Pardon ? Una select SQL su un DB di back end la puoi progettare come vuoi... non capisco che vuoi dire.

- l'archivio/DB delle password sara' protetto in modo adeguato?


Ora parli la mia lingua... ma leggi sopra.

- le password saranno crittografate (stile crypt)?
- useranno seed ?
- da quanti bit ?


Ma chi se ne importa se son criptati, tanto sono banali numeri di 5 cifre

  questo Ufficio ravvisa l'opportunita'  di incrementare il livello di sicurezza
  e rivolge un invito a estendere la lunghezza della parola chiave a otto cifre


E quindi il Garante ti ha pure dato ragione :)

--
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel.    +39 02 2399-4017
Fax.    +39 02 2399-3411
E-mail: zanero@xxxxxxxxxxxxxx
Web:    http://home.dei.polimi.it/zanero/

In risposta a:
- [ml] lezioni di sicurezza dal Garante della Privacy, Sandro Fontana
- Re: [ml] lezioni di sicurezza dal Garante della Privacy, Sandro Fontana

Data:
- precedente: Re: [ml] richiesta d'aiuto vitale, Luca Berra
- successivo: Re: [ml] lezioni di sicurezza dal Garante della Privacy, Corrado Conti
- indice

Argomento:
- precedente: Re: [ml] lezioni di sicurezza dal Garante della Privacy, Sandro Fontana
- successivo: Re: [ml] lezioni di sicurezza dal Garante della Privacy, Corrado Conti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005