Commenti a: Password: sono ancora adeguate? http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/ Un blog di Andrea Beggi Wed, 08 Feb 2012 15:47:40 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Di: Fabio Torazza http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-102252 Fabio Torazza Fri, 16 Mar 2007 08:54:05 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-102252 la normativa 196/2003.... è un guazzabuglio... impone l'aggiornamento degli antivirus ogni n mesi (6?), quando se si ha un antivirus non aggiornato da pochi gioni è come non averlo (anzi peggio perchè ti rallenta e non ti protegge). per esperienza personale, all'epoca del termine ultimo di entrata in vigore (essendo in Italia, l'ottemperanza agli obblighi della normativa è stata fatta slittare n volte e per anni) ci fu un gran trambusto e affanno da parte di ditte/aziende/studi... per adempiere gli obblighi... proliferavano "consulenti della privacy" che si facevano pagare a peso d'oro dps generici precompilati scaricati da qualche sito e compilati alla "come viene". La normativa prevede che ad ogni nuovo assunto incaricato "al trattamento" dei dati ad ogni minima modifica all'infrastruttura di rete (computer, antivirus , router , firewall, nuovi programmi... qsiasi cosa) il dps vada scrupolosamente aggiornato e integrato. anche in caso di nessua modifica sulla struttura della rete, del dps va comunque fatto un "refresh", non ricordo esattamente se ogni 6 mesi o un anno. mi domando a- quanti soggetti abbiano ad oggi aggiornato di volta in volta il dps (e quindi abbiano ora un documento che rispecchia una fotografia di quanto era anni fa e che ora è completamente diverso e quindi non valido) b- siccome la risposta alla domanda a la conosco, quanti si ricordino dove hanno posizionato il dps.... documento sì interno, ma che in caso di verifica va tirato fuori ed esibito la normativa 196/2003…. è un guazzabuglio…
impone l’aggiornamento degli antivirus ogni n mesi (6?), quando se si ha un antivirus non aggiornato da pochi gioni è come non averlo (anzi peggio perchè ti rallenta e non ti protegge).
per esperienza personale, all’epoca del termine ultimo di entrata in vigore (essendo in Italia, l’ottemperanza agli obblighi della normativa è stata fatta slittare n volte e per anni) ci fu un gran trambusto e affanno da parte di ditte/aziende/studi… per adempiere gli obblighi…
proliferavano “consulenti della privacy” che si facevano pagare a peso d’oro dps generici precompilati scaricati da qualche sito e compilati alla “come viene”.
La normativa prevede che
ad ogni nuovo assunto incaricato “al trattamento” dei dati ad ogni minima modifica all’infrastruttura di rete (computer, antivirus , router , firewall, nuovi programmi… qsiasi cosa) il dps vada scrupolosamente aggiornato e integrato.
anche in caso di nessua modifica sulla struttura della rete, del dps va comunque fatto un “refresh”, non ricordo esattamente se ogni 6 mesi o un anno.

mi domando
a- quanti soggetti abbiano ad oggi aggiornato di volta in volta il dps (e quindi abbiano ora un documento che rispecchia una fotografia di quanto era anni fa e che ora è completamente diverso e quindi non valido)
b- siccome la risposta alla domanda a la conosco, quanti si ricordino dove hanno posizionato il dps…. documento sì interno, ma che in caso di verifica va tirato fuori ed esibito

]]> Di: Simone http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101922 Simone Mon, 12 Mar 2007 15:50:39 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101922 Utilizzo una smartcard per lavoro, e credo che se ci fosse la "volontà politica" (utilizzo le virgolette perché fa ridere anche me) la via della carta d'identità elettronica sarebbe la via maestra. Una smartcard rilasciata dal comune di residenza con un certificato valido per l'autenticazione e la firma potrebbe essere utilizzato potenzialmente per qualsiasi cosa. A tale certificato si potrebbe associare un conto corrente, una carta di credito, accesso a diversi sistemi con diverse modalità, e tutto con un grado di sicurezza adeguato. Naturalmente, solamente un po' di "cultura digitale" può risolvere il problema post-it ;) Utilizzo una smartcard per lavoro, e credo che se ci fosse la “volontà politica” (utilizzo le virgolette perché fa ridere anche me) la via della carta d’identità elettronica sarebbe la via maestra. Una smartcard rilasciata dal comune di residenza con un certificato valido per l’autenticazione e la firma potrebbe essere utilizzato potenzialmente per qualsiasi cosa. A tale certificato si potrebbe associare un conto corrente, una carta di credito, accesso a diversi sistemi con diverse modalità, e tutto con un grado di sicurezza adeguato. Naturalmente, solamente un po’ di “cultura digitale” può risolvere il problema post-it ;)

]]> Di: maga http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101607 maga Thu, 08 Mar 2007 08:13:18 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101607 si può sapere il prezzo circa dei token? si può sapere il prezzo circa dei token?

]]> Di: Isadora http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101570 Isadora Wed, 07 Mar 2007 20:26:15 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101570 Io ho una smartcard (con certificato *e* pin, per via dei diversi sistemi supportati) anche per la vpn. Certo che quelli che si scrivono il pin sulla carta andrebbero decapitati (che sono poi parenti di quelli che scrivono la pwd su un post-it appiccicato sotto alla tastiera...). Un tema molto discusso è quello della biometrica, che però, come dici tu, non è privo di problemi (anche se è più difficile dimenticare a casa un'iride o un dito di una smartcard...); da noi, l'attivazione degli user accounts si svolge per via telefonica e l'identificazione viene fatta su un campione vocale. Se hai il raffreddore è un casino. Insomma, il vero problema, come sempre è l'utente... :-) Io ho una smartcard (con certificato *e* pin, per via dei diversi sistemi supportati) anche per la vpn. Certo che quelli che si scrivono il pin sulla carta andrebbero decapitati (che sono poi parenti di quelli che scrivono la pwd su un post-it appiccicato sotto alla tastiera…). Un tema molto discusso è quello della biometrica, che però, come dici tu, non è privo di problemi (anche se è più difficile dimenticare a casa un’iride o un dito di una smartcard…); da noi, l’attivazione degli user accounts si svolge per via telefonica e l’identificazione viene fatta su un campione vocale. Se hai il raffreddore è un casino. Insomma, il vero problema, come sempre è l’utente… :-)

]]> Di: thisend http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101567 thisend Wed, 07 Mar 2007 16:30:52 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101567 mmm... ki vivrà vedrà mmm… ki vivrà vedrà

]]> Di: Kalman http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101565 Kalman Wed, 07 Mar 2007 16:12:58 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101565 Keper: "Io penso che in futuro si diffonderanno moltissimo tessere rfid unitamente a password" certo, ma è un po' difficile in remoto... In questo scenario sarebbe più probabile un piccolo device tamper resistant in grado di effettuare operazioni crittografiche elementari basate sul meccanismo della public key authentication (i.e.: smartcard). Keper: “Io penso che in futuro si diffonderanno moltissimo tessere rfid unitamente a password”
certo, ma è un po’ difficile in remoto…
In questo scenario sarebbe più probabile un piccolo device tamper resistant in grado di effettuare operazioni crittografiche elementari basate sul meccanismo della public key authentication (i.e.: smartcard).

]]> Di: Emanuele http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101553 Emanuele Wed, 07 Mar 2007 09:42:27 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101553 *nessuno scrive il PIN sulla carta stessa.* Conosco almeno due fenomeni che lo fanno, adducendo spiegazioni come: "Non penseranno mica che sono così cretino" *nessuno scrive il PIN sulla carta stessa.*

Conosco almeno due fenomeni che lo fanno, adducendo spiegazioni come: “Non penseranno mica che sono così cretino”

]]> Di: Keper http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101549 Keper Wed, 07 Mar 2007 09:07:22 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101549 Io penso che in futuro si diffonderanno moltissimo tessere rfid unitamente a password. In sostanza la combinazione bancomat e pin. Io penso che in futuro si diffonderanno moltissimo tessere rfid unitamente a password. In sostanza la combinazione bancomat e pin.

]]> Di: Andrea http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101544 Andrea Wed, 07 Mar 2007 08:24:08 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101544 Grazie, Pseudo. M'incasino sempre con la burocrazia.... Grazie, Pseudo. M’incasino sempre con la burocrazia….

]]> Di: PseudoTecnico http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/comment-page-1/#comment-101542 PseudoTecnico Wed, 07 Mar 2007 07:52:08 +0000 http://www.andreabeggi.net/2007/03/07/password-sono-ancora-adeguate/#comment-101542 Andrea, guarda che l'ultima legge sulla privacy è la 196/2003 ;-) Andrea, guarda che l’ultima legge sulla privacy è la 196/2003 ;-)

]]>