Re: Possibile attacco quasi sempre di successo basato su social engineer

On Wed, May 21, 2003 at 11:26:07AM +0200, giovambattista vieri wrote:
> On Sunday 18 May 2003 17:41, Simo Sorce wrote:
> [snip]
> >
> > Smettere di usare sistemi che inviano password (in chiaro o dentro
> > tunnel criptati fa lo stesso) e usare invece meccanismi di challenge
> > response, magari con tanto di certificato digitale su smartcard.
> >
> > In questo modo non c'è pericolo di dare in giro una password per
> > sbaglio.
> >
> Si ma a meno che tu non usi un doppio livello di autenticazione, cioe' con 
> smartcard E password hai il rischio di perdita o sottrazione della carta...
> E in questo caso comunque la social engineering puo' essere usata per 
> acquisire almeno la parte "password" della autenticazione.
> 
> A questo punto mi pare che la soluzione "definitiva" potra' essere la 
> biometria... Dico sara' perche' per ora l'idea di mettere un lettore di 
> polpastrelli accanto a ogni pc mi pare praticabile in ben pochi ambienti di 
> lavoro....
Si, ma a questo punto salterebbero fuori altri tipi di problemi;
La corsa alla protezione dei sistemi aziendali non deve però andare a intaccare i diritti dei vari dipendenti e la loro privacy; la mia curiosità verso le tecniche di protezione dei dati, delle comunicazioni ecc.. non è certo nata dall'esigenza di proteggere la banca o la società per cui lavoro, nasce piuttosto dalla volonta di offrire un'ulteriore strumento per combattere il controllo che può essere esercitato nei nostri confronti.
Se fossi un'impiegato dell'azienda che decide di adottare un sistema di protezione di questo tipo, me ne guarderei bene dal farmi schedare (con tanto di impronte digitali) solo per questioni di sicurezza interna.

Cmq seguo da pochissimo questa lista ma la trovo molto interessante ;)
Saluti a tutti

> 
> Che ne pensate?
> ciao
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

PGP signature