[Soci SLIP] sicurezza secondo microsoft

[Lucio Crusca]

On domenica 3 maggio 2009 11:53:11 gvsnet a gvsnet.it wrote:
> il livello di sicurezza che vorrei raggiungere e di livello medio
> basso,utile a utenti tipo:Avvocati,dottori,giudici,ecc.
> dove si soddisfano questi requisiti:
> 1)se mi rubano il portatile non sono in grado di decodificare i dati.
> 2)se mi rubano i dati non sono in grado di decifrarli.
> 3)se sottragono un supporto dati non sono in grado di decifrarli.

L'autenticazione di un utente, dal punto di vista teorico, quindi indipendente 
da Linux/Windows/Vattelappesca, può essere composta da:
1. qualcosa che l'utente autentico È (autenticazione biometrica)
2. qualcosa che l'utente autentico HA (badge/smartcard)
3. qualcosa che l'utente autentico SA (password)
4. una qualsiasi combinazione dei 3 precedenti metodi

Fonte: Wikipedia
http://it.wikipedia.org/wiki/Autenticazione#Metodologie_di_autenticazione

Ovviamente scegliere di basare l'autenticazione solo su uno dei prime tre sarà 
sempre una scelta con i suoi problemi di sicurezza, indipendentemente dal 
sistema che usi (Windows/Linux/Altri). Nota che, sempre dal punto di vista 
teorico, l'autenticazione non è mai basata sulla difficoltà tecnica di bypassare 
uno dei precedenti metodi, ovvero non esiste fra i metodi di autenticazione la 
verifica delle capacità di amministrare/crackare il sistema. Quindi qualsiasi 
malintenzionato che disponga degli strumenti giusti riuscirà a superare 
quantomeno ogni difficoltà tecnica. Conseguenza, le difficoltà tecniche NON sono 
un metodo per aumentare la sicurezza del sistema. In questo senso la gestione 
delle password di Linux non è meno sicura di quella di Windows, è solo più 
comoda in caso di disaster recovery come diceva Davide.

> 4)l'utilizzo di queste tecnologie non devono essere complesse e non
> devono costringere l'utente a memorizazioni di password complesse.
> solo quella di login.

Dato che vuoi mettere in sicurezza i dati senza chiedere all'utente di 
ricordarsi una password complessa (quindi senza chiedergli di SAPERE 
qualcosa), per quanto detto sopra, sei costretto a chiedergli di dimostrare di 
ESSERE qualcuno (autenticazione biometrica) e/o di AVERE qualcosa (smartcard o 
token OTP tipo quello che ti dà la banca). Quanto alla difficoltà di utilizzo, 
direi che non è poi molto difficile usare un lettore d'impronte e digitare un 
numero che appare sul token, voglio dire ci riesce anche mia zia, con tutto il 
rispetto per una vecchia signora che non ha mai studiato informatica ma ha 
tanti altri pregi.

Se poi quello che chiedi è che la configurazione iniziale di queste tecnologie 
su Linux (o probabilmente anche su Windows) sia qualcosa di semplice, allora 
ho paura che non troverai nulla e per come la vedo io è meglio che sia così: 
sono tecnologie che ti garantiscono una buona sicurezza dei dati, se chi le 
installa sa cosa sta facendo, quindi mi sembra corretto che la barriera 
culturale per la loro installazione sia un po' più alta delle semplici 
password. Altrimenti il rischio è che chiunque possa farsi la Strong 
Authentication basata sui tre metodi tutti assieme solo con un click e poi, 
fra tutti quelli che lo fanno, una buona parte degli utenti salva i documenti 
sulla chiavetta USB non criptata perché non ha capito che la cifratura avviene 
magari solo in una sottodirectory della loro home (sempre perché nemmeno sanno 
la differenza fra la home e la chiavetta USB), ben convinti che i loro 
documenti sono al sicuro perché per accedere alla cartella criptata devono 
strisciare l'alluce sul lettore, digitare la OTP con il naso e recitare l'Hare 
Krishna tradotto in turco in sol minore.