Re: [OT] internet banking e autenticazione biometrica

To: debian-italian <debian-italian@lists.debian.org>
Subject: Re: [OT] internet banking e autenticazione biometrica
From: Davide Prina <davide.prina@gmail.com>
Date: Wed, 10 Nov 2021 20:40:28 +0100
Message-id: <[🔎] 8c241aa0-adda-3cbd-28c2-959a29a223c7@gmail.com>
Reply-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] 016bc776-2ed3-ad23-2d1c-a03db4445cbc@unibo.it>
References: <[🔎] 2e3629d7-61b7-29ba-ffbf-b9c3242ff015@riminilug.it> <[🔎] 20211109122611.2fde78b4.fdb-ml@pente.it> <[🔎] CAGfrEtmA3NsSJYScuROQr68+aYMxw9EsXNL8BmeXTyDP0sWTTw@mail.gmail.com> <[🔎] d22ef29f-a71d-4345-c19d-ffa6b0a09b89@unibo.it> <[🔎] 106c5aa1-05cb-df0d-41ec-272d0d8917f4@fastwebnet.it> <[🔎] 238e0b0b-9251-7924-2b4f-20fd1e032b38@gmail.com> <[🔎] 6466d53c-d250-e8d4-4084-a34ce9188861@gmail.com> <[🔎] 016bc776-2ed3-ad23-2d1c-a03db4445cbc@unibo.it>

On 10/11/21 08:17, Diego Zuccato wrote:

Il 09/11/2021 22:26, Davide Prina ha scritto:
Se ti vengono intercettati alcuni OTP è possibile ipotizzare lasequenza che stai usando... e più numeri vengono intercettati emaggiore è la probabilità di azzeccare.

Scusa, ma questo proprio nonsta in piedi. Per lo meno per TOTP e HOTP.
Entrambi si basano su troncamento di hash crittografici.

a me hanno detto che le chiavette per l'accesso alla banca sono statetolte perché non sicure. Alcune banche ora forniscono chiavette dettesmart (hanno un tastierino e non un singolo bottone).Mi hanno detto inoltre che il problema principale è che l'utente o chipuò accedere alla chiavetta (attaccante) può generare a piacere tanti token.

Io avevo ipotizzato che gli attaccanti facessero qualcosa del genere:l'algoritmo è pubblico e quindi puoi usarlo a tuo piacere. Ti crei uninsieme di sequenze future generate a partire da N semi e in base agliTOTP che intercetti, in determinati tempi, li verifichi con la tuagriglia, se trovi delle corrispondenze, allora puoi ipotizzare di averindividuato la sequenza corretta. Più token intercetti nel tempo emaggiori probabilità hai di individuare la sequenza corretta... se è traquelle da te calcolata nella griglia.In questo modo se l'attaccante sta eseguendo l'attacco su una solavittima, allora può adagio adagio scartare le sequenze noncorrispondenti e sostituirle con nuove.

Non ho idea della quantità di calcoli necessari per ottenere qualcosadel genere e la probabilità di poter azzeccare la sequenza corretta.

Perfino con MD5 (considerato non sicuro) non è semplice risaliredall'hash alla preimmagine.

però dipende dall'uso, l'MD5 non è considerato sicuro se usato percalcolare l'hash di un file, questo perché è dimostrato che è possibilecreare un altro file e far sì che l'hash corrisponda a quello del filedi origine. Cioè è "facile" trovare/creare collisioni.


Ciao
Davide
--
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook

Reply to:

Follow-Ups:
- Re: [OT] internet banking e autenticazione biometrica
  - From: Paolo Miotto <paolo.miotto@uniud.it>

References:
- [OT] internet banking e autenticazione biometrica
  - From: Piviul <piviul@riminilug.it>
- Re: [OT] internet banking e autenticazione biometrica
  - From: Filippo Dal Bosco - <fdb-ml@pente.it>
- Re: [OT] internet banking e autenticazione biometrica
  - From: Mirco Piccin <pictux@gmail.com>
- Re: [OT] internet banking e autenticazione biometrica
  - From: Diego Zuccato <diego.zuccato@unibo.it>
- Re: [OT] internet banking e autenticazione biometrica
  - From: pinguino <claudio.sandrone@fastwebnet.it>
- Re: [OT] internet banking e autenticazione biometrica
  - From: Paolo Redælli <paolo.redaelli@gmail.com>
- Re: [OT] internet banking e autenticazione biometrica
  - From: Davide Prina <davide.prina@gmail.com>
- Re: [OT] internet banking e autenticazione biometrica
  - From: Diego Zuccato <diego.zuccato@unibo.it>

Prev by Date: Re: [OT] internet banking e autenticazione biometrica
Next by Date: Re: [OT] internet banking e autenticazione biometrica
Previous by thread: Re: [OT] internet banking e autenticazione biometrica
Next by thread: Re: [OT] internet banking e autenticazione biometrica
Index(es):
- Date
- Thread