Content tagged 1Password

Uscite di sicurezza
posted on 2021-05-23 23:33

Oggi dovevo accreditare un centinaio di euro sul sito del servizio mensa per la scuola della primogenita.

Ci si può registrare con nome e password oppure entrare con Spid. Preferisco quest’ultimo sistema perché, sì, registrarsi è un piacere pari a quello di una colonscopia e, se qualcosa si rompe nel meccanismo, meglio sei mesi di sedute dal dentista.

Nel mezzo di queste due parentesi, tuttavia, il servizio funziona bene e in questo è essenziale il potersi autenticare con FaceID al posto di scrivere l’ennesimo codice.

Entrato con Spid, che apre la porta al servizio mensa ma anche a qualunque servizio della pubblica amministrazione e come tale è considerato dall’Italia un sistema di identificazione assai sicuro, accredito il denaro e, per farlo, posso usare solo una carta di credito. Essere entrato con Spid non mi serve a niente: il sito demanda la sicurezza della transazione alla società che emette la carta. Ma allora, che sicurezza tutela l’accesso con Spid?

Le misure di sicurezza digitale della pubblica amministrazione non hanno alcun nesso con la sicurezza effettiva; sono pensate programmaticamente al solo scopo di ostacolare, rallentare, intralciare l’utente.

La banca (semplifico) dietro la carta di credito fa del suo meglio per rendere sgradevole l’operazione. Prima vogliono tutti i dati della carta, poi mandano l’Sms con il codice di approvazione, poi vogliono quello creato dall’utente. Qualcosa nel caso abbiano rubato la carta ma non il telefono, qualcosa se fosse stato rubato il telefono ma non la carta, qualcos’altro per evitare un attacco man-in-the-middle e così via.

La banca non pensa in termini di sicurezza globale, ma si accorge di un problema per volta e, invece di allestire una soluzione globale, accatasta una soluzione sull’altra per affrontare un problema dopo l’altro.

Non basta che io sia entrato via Spid sul sito? Se la transazione dipende da codici numerici, a che serve inviare la data di scadenza della carta? Perché non posso metterci la faccia e autenticarmi grazie a FaceID, più sicuro di qualsiasi Pin e controPin?

Alla fine la pagina mostra un gateway error 504 o qualcosa del genere. Per esperienza so che la transazione è riuscita, perché alla fine della transazione su quel sito con quella banca esce sempre quell’errore. Sospetto che un hacker ben motivato, su questa circostanza, andrebbe a nozze, alla faccia di codici e password.

Il sito è sempre molto meno sicuro di quanto lasci intendere il suo sistema di autenticazione, che serve solo a salvare le apparenze ed eventualmente scaricare eventuali responsabilità.

Neanche mi ricollego al sito per controllare che davvero la transazione sia avvenuta. Arriva una email di conferma, con dentro tutti i dettagli della transazione e due terzi del numero della carta di credito. La email viaggia in chiaro. Anche qui, per un hacker motivato, poter collegare con certezza una transazione a un utente è una bella occasione di divertimento.

Il responsabile della sicurezza è sempre una persona solitaria, intorno alla quale l’azienda commette qualsiasi errore possa giustificare una cospicua ignoranza interna di che cosa implichi garantire la sicurezza.

Alla fine arriva sempre qualcuno a dire sì, ma ti conviene usare 1Password (sostituire con il password manager prediletto). Certamente è molto comodo; poi consolida i mille punti deboli della mia sicurezza personale (perchè ogni Pin, ogni codice, ogni password, ogni autenticazione è un punto critico suscettibile di attacco) in un unico punto debole, la cui eventuale caduta significa la resa incondizionata al pirata di turno.

Alla fine dei conti, qualunque procedura di sicurezza ruota attorno a un singolo codice.

Mentre approfondisco la faccenda dei commenti per il blog, chi vuole lasciare comunque un commento da qui può accedere liberamente alla pagina commenti di Muut per QuickLoox. Non è ancora (ri)collegata a questi post (è lo scopo di tutto l’esercizio). Però lo sarà.

This blog covers 1802, 1Password, 1Writer, 276E8VJSB, 50 Years of Text Games, 500ish, 512 Pixels, AAC, AI, AR, Accademia di Belle Arti, Acer, Adium, Adobe, Adventure, AirBnB, AirPods, AirPort Express, AirPort Extreme, AirTable, AirTag, Akko, Al Evans, Alac, All About Apple, All About Apple Museum, AlphaGo, Alphonse Eylenburg, Altroconsumo, Alyssa Rosenzweig, Amadine, Amazon, Amd, Anaconda, Anagrafe, Android, Andy Hertzfeld, Anteprima, Apollo, App Store, App Tracking Transparency, Apple, Apple //, Apple Arcade, Apple Distinguished School, Apple Gazette, Apple II, Apple Music, Apple Park, Apple Pencil, Apple Silicon, Apple Store, Apple TV+, Apple Watch, AppleDaily, AppleInsider, AppleScript, Aqua, Aqueux, Arctic Adventure, Arm, Armstrong, Ars Technica, Arthur Clarke, Ascii, Asymco, Atom, Audacity, Audion, Austin Mann, Australia, AutoCad, Automator, Avventura nel castello, Axios, BBEdit, Backblaze, Badland+, Bandley Drive, Basecamp, Bashcrawl, Basic, Battle for Polytopia, Beeper, Bell Labs, Benjamin Clymer, Big Mac, Big Sur, Bill Gates, Bing, BirchTree Mac, BlastDoor, Borgo Valsugana, Braille, Bruno Munari, Bubble sort, Buzz Andersen, CERN, California State University, Cap’n Magneto, Carbon, Carbon Copy Cloner, Carlo Canepa, Cartoonito, Casa Graziana, Catalina, Cbs, Cessapalombo, Chaplin, Charlie Watts, Cheetah, Chiara, China Railway Shenyang, Chromebook, Cina, Claudio, Clive Sinclair, Clubhouse, Coca-cola, Coleslaw, Colle Giacone, Collegiacone, Comandi rapidi, Come un ombrello su una macchina da cucire, Command and Conquer, Commodore 64, Common Lisp, Comune, CorpoNazione, Cortana, Cossignani, Covid, Covid-19, Coyote Cartography, Creative Cloud, Crema, Csam, Css, Csuccess, Cuore di Mela, Cupertino, Cupra Marittima, D&D, DaD, Dad, Dalian, Dan Peterson, Daring Fireball, De André, Debian, Dediu, DeepMind, Degasperi, Dell, Disney, DisplayPort, Disqus, DocC, Dock, Dolby Atmos, Dolphin, Doom, Dortmund, Dr. Drang, Drafts, Drm, DuckDuckGo, Dune 2000, Dungeons & Dragons, Dungeons and Dragons, Dvd, Edimburgo, Edinburgh Learns for Life, Editorial, Edward Snowden, Elio e le Storie Tese, Epic, EpocCam, Epson, Erc, Erica Sadun, Erin Casali, Ethernet, Etherpad, Euro 2020, Europei, Eurovision, Everyone Can Create, Excel, Exchange, Expanded Protection for Children, ExtremeTech, Eyepatch Wolf, F24, Fabio Massimo Biecher, FaceID, Facebook, Fai, Federico Viticci, Feedly, Finder, Fitbit, Flac, Flappy Birds, Flash, Flavio, Flurry Analytics, Focus, Folletto, Fondazione, Fondo Ambiente Italiano, Ford, Forrester, Fortnite, Franco Battiato, Frederic Filloux, Frix, FrontPage, Fsf, Fëarandil, G3, GQ, Gagarin, Geekbench, Geneforge 1 - Mutagen, Giacomo Tufano, Gianni Catalfamo, Giardino delle Farfalle, Giorgio Dell’Arti, GitHub, Gizmodo, Gnu, Go, Google, Google Play, Google Remote Desktop, Google Tensor, Gorizia, Gplv3, Guardian, HP, HP Smart, Hafnium, Halide, Happy Scribe, Harry McCracken, Hdmi, Hearthstone, Hemlock, Hewlett-Packard, Hey, High Sierra, Hii, Hodinkee, HomePod Mini, Horace Dediu, Hp, Html, Huawei, Huffington Post, Il ritorno del Re, Il vitello dai piedi di balsa, IlTofa, Imgr, Immuni, Incunabolo, Ingmar Bergman, Insegnanti 2.0, Inside Macintosh, Instagram, Intel, Intense Minimalism, Internet, Internet Explorer, Internet Relay Chat, Invalsi, Irc, Isaac Asimov, It is better to be a pirate than join the Navy, Ivacy, J. Geils Band, JEdit, Jacob Kaplan-Moss, Jason Snell, Java, JavaScript, Jeff Bezos, Jeff Vogel, Jekyll, Joanna Stern, John D. Cook, John Gruber, John Perry Barlow, John Voorhees, Jon Prosser, Jonathan Ive, Jägermeister, Kagi, Kansas City Chiefs, Ken Thompson, Keyboard Maestro, Kickstarter, Krebs, LG, La classe capovolta, LaTeX, LambdaMOO, Larry Wall, LaserWriter, LibreItalia, LibreOffice, Libreitalia, Lidar, Lidia, Lightning, Lightroom, Liguria, Linus Torvalds, Linux, Lisp, Live Text, Lords of Midnight, Luca Accomazzi, Luca Bonissi, Luca Maestri, Lucy Edwards, Lux, M.G. Siegler, M1, M118dw, Mac, Mac OS, Mac OS X, Mac mini, MacBook Air, MacBook Pro, MacMomo, MacRumors, MacSparky, MacStories, Macintosh, Macintosh Plus, Macworld, Mail, Mailchimp, Mappe, MarK Twain, Marco, Mario, Markdown, MarsEdit, Martin Peers, Marvin Minsky, Matt Birchler, Matteo, Matthew Cassinelli, Mavericks, Max Weinberg, McSweeney, Mediaworld, Medium, Meet, Memoji, MessagePad, Micr0soft, MicroUSB, Microsoft, Mike Bombich, Mike D’Antoni, Minority Report, Mission Control, Mission Impossible, Mit Technology Review, Model One Digital+, Model T, Mojave, Monday Note, Monterey, Monti Sibillini, Mosaic, Motorola, Mount Sinai, Mp3, Msx, Muse, Museo Malacologico Piceno, Muut, Nanchino, Napoli, Nasa, Ncmec, NeXT, Neil Young, NetHack, NetHack Challenge, NetNewsWire, Netscape, New York Times, Newton, Newton Press, Nicola D’Agostino, Nive, Noam Chomsky, Nokia, Notebook, Notifiche, Notre-Dame, NovaChat, OBS Camera, OBS Studio, OS X, Object Capture, Octopress, Office, OldOS, Olimpia, Olimpiadi, OpenDocument, OpenDocument Reader, OpenRA, Ordine dei Giornalisti, Orwell, P3, PageMaker, Pages, Pandoc, Panic, Panini, Pantone, Paola Barale, Paolo, Paolo Attivissimo, Paolo Pendenza, Parallels, Patreon, Patrick Mahomes, Pdf, Penn, People, Perl, Perseverance, Pfizer, Philip Elmer-DeWitt, Philips, Photoshop, Pixar, Pixar Theory, Pixel 6, Pixel 6 Pro, Pixel Envy, Pixelmator Pro, Plan 9, Play Store, PlayStation, Playdate, Polympics, Polytopia, Power Macintosh 7200/90, PowerBook, PowerBook Duo, PowerPC, PowerPoint, Preferenze di Sistema, Pro Display Xdr, Procter & Gamble, Programmatori per caso, Project Zero, Psion, Psion Chess, Python, Ql, Qualcomm, Queen, Queensland, Quick Notes, QuickLoox, R360, Radio.Garden, Rai, RaiPlay, RaiPlay Yoyo, Raspberry Pi, Raymond, Raz Degan, Recenti, Red Alert, Reddit, Redmond, Richard Stallman, Roll20, Rolling Stones, Rs-232, Rss, Runescape, Ryzen, Safari, Salesforce, Samsung, Sars, Savona, Scott Forstall, Screen Time, Screens, Scripting, Scuola, SharePlay, Shazam, Shortcuts, Shortcuts Catalog, Siegler, Sierra, Silverlight, Simone Aliprandi, Six Colors, SkilledObject, Slack, SnapChat, Sony, South African Revenue Service, Spaces, Spatial Audio, Spid, Spiderweb Software, Sputnik, St. Therese Catholic Primary School, Stadia, Start Me Up, Stefano, Stephen Hackett, Stephen Kleene, Steve Jobs, Steve Wozniak, Stevie Wonder, Stewart Copeland, Storie di Apple, Sudafrica, Super Bowl, Super Mario, Super Mario Bros, Swift, Swift Playgrounds, SwiftUI, Taio, Tampa Bay Buccaneers, Teams, Tech Reflect, Teller, Tempi moderni, Terminale, Tesla, TextEdit, Textastic, The Briefing, The Eclectic Light Company, The Hobbit, The Information, The Internet Tidal Wave, The Motley Fool, The Verge, Think Different, Thoughts on Flash, Thunderbolt, TikTok, Tim Berners-Lee, Tim Cook, Tivoli, Tivoli Audio Art, Toca Boca, Toca Lab: Plants, Tokyo, Tom Brady, Tom Taschke, Tommaso, Torino, Torrent, Toshiba, Travis Holm, Trillian, Trilogia Galattica, Tweetbot, Twitter, TypeScript, U1, USB, USB-C, Unicode, Universal Binary, Unix, Utf-8, Vaccino, Vesa, Vestager, Viktoria Leontieva, Visual Studio, Visual Studio Code, Vnc, Vpn, VxWorks, WWDC, Walkman, Wendy Molyneux, West Coast, WhatsApp, Wimbledon, Windows, Windows 11, Windows Phone, Wired, Wishraiser, Word, WordPress, World of Warcraft, WorldWideWeb, Wwdc, X-window, Xcode, Xdr, Xevious, Xi, YayText, Yoda, Yoko Shimomura, YouTube, ZX Spectrum, Zoom, Zork, Zune, adware, analogico, board, business, cartelle smart, cetonia dorata, cookie, coronavirus, curricolo, cybersecurity, desktop publishing, digitale, ePub, emacs, emoji, hyper key, i3, iBooks Author, iCloud, iMac, iMessage, iMore, iMovie, iOS, iOS 14, iOS 14.5, iOS 14.5.1, iOS 15, iPad, iPad Air, iPad Pro, iPad mini, iPadOS, iPadOS 15, iPadOS macOS, iPhome, iPhome 13, iPhone, iPhone 12 mini, iPhone 13, iPhone 13 Pro, iPhone 14, iPhone 6, iPhone 6s, iPhone SE, iPod, iTunes, intelligenza artificiale, ipertesto, isso, jailbreak, lossless, macOS, macOS 11.4, malware, npm, open source, port forwarding, privacy, programmazione, regex, remote working, rsync, sandbox, scuola, setteBit, software, soup, streaming, tag, uptime, walled garden, watchOS, wiki, x86, zip, Arcade, tv, watch, watch SE

View content from 2021-09, 2021-08, 2021-07, 2021-06, 2021-05, 2021-04, 2021-03, 2021-02, 2021-01, 2014-02


Unless otherwise credited all material Creative Commons License by lux