[Soci SLIP] sicurezza secondo microsoft
Lucio Crusca
lucio a sulweb.org
Dom 3 Maggio 2009 13:00:22 CEST
On domenica 3 maggio 2009 11:53:11 gvsnet a gvsnet.it wrote:
> il livello di sicurezza che vorrei raggiungere e di livello medio
> basso,utile a utenti tipo:Avvocati,dottori,giudici,ecc.
> dove si soddisfano questi requisiti:
> 1)se mi rubano il portatile non sono in grado di decodificare i dati.
> 2)se mi rubano i dati non sono in grado di decifrarli.
> 3)se sottragono un supporto dati non sono in grado di decifrarli.
L'autenticazione di un utente, dal punto di vista teorico, quindi indipendente
da Linux/Windows/Vattelappesca, può essere composta da:
1. qualcosa che l'utente autentico È (autenticazione biometrica)
2. qualcosa che l'utente autentico HA (badge/smartcard)
3. qualcosa che l'utente autentico SA (password)
4. una qualsiasi combinazione dei 3 precedenti metodi
Fonte: Wikipedia
http://it.wikipedia.org/wiki/Autenticazione#Metodologie_di_autenticazione
Ovviamente scegliere di basare l'autenticazione solo su uno dei prime tre sarà
sempre una scelta con i suoi problemi di sicurezza, indipendentemente dal
sistema che usi (Windows/Linux/Altri). Nota che, sempre dal punto di vista
teorico, l'autenticazione non è mai basata sulla difficoltà tecnica di bypassare
uno dei precedenti metodi, ovvero non esiste fra i metodi di autenticazione la
verifica delle capacità di amministrare/crackare il sistema. Quindi qualsiasi
malintenzionato che disponga degli strumenti giusti riuscirà a superare
quantomeno ogni difficoltà tecnica. Conseguenza, le difficoltà tecniche NON sono
un metodo per aumentare la sicurezza del sistema. In questo senso la gestione
delle password di Linux non è meno sicura di quella di Windows, è solo più
comoda in caso di disaster recovery come diceva Davide.
> 4)l'utilizzo di queste tecnologie non devono essere complesse e non
> devono costringere l'utente a memorizazioni di password complesse.
> solo quella di login.
Dato che vuoi mettere in sicurezza i dati senza chiedere all'utente di
ricordarsi una password complessa (quindi senza chiedergli di SAPERE
qualcosa), per quanto detto sopra, sei costretto a chiedergli di dimostrare di
ESSERE qualcuno (autenticazione biometrica) e/o di AVERE qualcosa (smartcard o
token OTP tipo quello che ti dà la banca). Quanto alla difficoltà di utilizzo,
direi che non è poi molto difficile usare un lettore d'impronte e digitare un
numero che appare sul token, voglio dire ci riesce anche mia zia, con tutto il
rispetto per una vecchia signora che non ha mai studiato informatica ma ha
tanti altri pregi.
Se poi quello che chiedi è che la configurazione iniziale di queste tecnologie
su Linux (o probabilmente anche su Windows) sia qualcosa di semplice, allora
ho paura che non troverai nulla e per come la vedo io è meglio che sia così:
sono tecnologie che ti garantiscono una buona sicurezza dei dati, se chi le
installa sa cosa sta facendo, quindi mi sembra corretto che la barriera
culturale per la loro installazione sia un po' più alta delle semplici
password. Altrimenti il rischio è che chiunque possa farsi la Strong
Authentication basata sui tre metodi tutti assieme solo con un click e poi,
fra tutti quelli che lo fanno, una buona parte degli utenti salva i documenti
sulla chiavetta USB non criptata perché non ha capito che la cifratura avviene
magari solo in una sottodirectory della loro home (sempre perché nemmeno sanno
la differenza fra la home e la chiavetta USB), ben convinti che i loro
documenti sono al sicuro perché per accedere alla cartella criptata devono
strisciare l'alluce sul lettore, digitare la OTP con il naso e recitare l'Hare
Krishna tradotto in turco in sol minore.
Maggiori informazioni sulla lista
Soci