hit counter
La fine delle password è vicina? Iniziamo ad usare le Information Card con CardSpace su Windows Live ID - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

La fine delle password è vicina? Iniziamo ad usare le Information Card con CardSpace su Windows Live ID

La fine delle password è vicina? Iniziamo ad usare le Information Card con CardSpace su Windows Live ID

  • Comments 8
  • Likes

Un paio di articoli recenti ha riproposto la validità ed attualità della domanda nel titolo: la fine delle password è vicina? Il primo segnalava l'annuncio stampa della società russa Elcomsoft che dichiarava di essere riuscita a moltiplicare per circa 25 volte la potenza di brute force cracking delle password (ricordo per i non addetti ai lavori che si tratta dell'attacco diretto a scoprire una password provando tutte le possibili combinazioni) grazie all'uso combinato della CPU del PC e del microprocessore presente sulle comuni schede grafiche, con il risultato di poter scoprire una password di 8 caratteri generati a caso in circa 3-5 giorni di calcolo. Il secondo riportava l'annuncio di un ricercatore che dichiarava di aver utilizzato una PS3 per scalare tale potenza di calcolo fino al punto di poter scoprire una password di 8 caratteri in sole poche ore.

Di fronte a questi dati tecnici, la risposta al quesito iniziale è scontata: è tempo (in realtà è già molto tardi...) di abbandonare l'uso delle password laddove possibile! Non che le password siano un male di per sé, ma utilizzate male (leggi: crearle in modo che non siano adeguatamente lunghe e complesse) e nelle situazioni che le espongono al possibile furto da parte di malintenzionati è ormai un rischio troppo elevato (come le numerose segnalazioni che giungono costantemente a questo mio post sul furto di credenziali Windows Live).

Avendo letto il secondo articolo sul blog di Kim Cameron, ho fatto 2+2 e ho pensato utile segnalarvi un primo modo per intraprendere questo cammino virtuoso lontano dall'uso delle password: l'utilizzo delle Information Card per il logon ai servizi Windows Live.

Chi ha Windows Vista ha già tutto l'occorrente necessario e in un minuto (seguento le indicazioni del link precendente) si ha la possibilità di associare alla propria utenza Windows Live ID una delle Information Card presenti in Windows CardSpace (o se ne crea una al volo, anche vuota) sul vostro PC, per poi operare l'accesso ai servizi Windows Live semplicemente selezionando "Information Card" (dal menù a tendina come vi mostro nella figura) e cliccando il tasto "Sign in" senza digitare nessuna password!!!

InfoCard su Windows Live

Incominciate a gustare la semplicità d'uso e l'immediatezza di questo nuovo meccanismo di autenticazione (anche coloro che non avessero Windows Vista possono utilizzarlo: nello stesso post ci sono indicazioni in merito).

Comments
  • Come al solito ti devo ringraziare per i tuoi articoli! Una domanda stupida e banale: un comune cittadino (no partita iva, impresa,ecc..) dove può acquistare una di queste card??

  • Ciao Marco, la tua domanda conferma un mio timore: quello di non aver spiegato in modo sufficientemente completo il tema CardSpace e Information Card. Mi riprometto di farlo appena possibile con un post, per ora ti rispondo in breve: le Information Card non sono card fisiche, sono card digitali (rappresentate nel PC da file XML). Se tu hai Windows Vista, cercando Cardspace nel search troverai questo componente al cui interno puoi creare una nuova Information card personale (compilandola con i dati personali che potrebbe essere necessario presentare ai siti web che chiedono di autenticarti). Una volta creata (e per Windows Live ID ne serve una anche vuota, basta solo che abbia un nome) la puoi associare a Windows Live seguendo il link indicato nel post. Se poi ha voglia di approfondire lo scenario tecnico di fondo segui la categoria Windows CardSpace per trovare i miei post passati sul tema. Grazie dell'apprezzamento!

  • Al momento il problema password non mi tocca particolarmente, in genere utilizzo password che hanno lunghezza di 16 caratteri (con qualsiasi tipo di carattere inserito in modo del tutto casuale) e per le password particolarmente importanti passo a 24 caratteri!

    Ad ogni modo l'ideale sarebbe avere un sistema unificato tra i vari servizi disponibili ed i vari sistemi operativi per autentificarsi a tutti i servizi online, speriamo che prima o poi qualcuno arrivi con una soluzione tanto buona.

  • @sirus: per la lunghezza delle password mi permetto di aggiungere, a beneficio di chi legge, che è preferibile usare il concetto di passphrase per poter ricordare meglio le password lunghe come le tue, ad esempio "Il,prossimo,25,e,Natale" (ci sono simboli, maiuscole, minuscole e numeri). Per il sistema unificato di autenticazione online di cui parli: ti invito a leggere i miei post della categoria "Identity Metasystem & Windows Cardspace" e a farmi sapere se pensi che una tale soluzione tecnologica basata su open standard e multi-piattaforma sia o meno esattamente quello che speri.

  • C'è la possibilità di utilizzare le card anche con programmi di posta elettronica o messenger?

    Di fatto se posso dimenticarmi la password per accedere via web ma non per accedere via software perdo gran parte della comodità.

  • @ Feliciano Intini

    Ho seguito i tuoi post sull'argomento e devo dire che l'infrastruttura è realmente interessante. Quello che temo sono i tempi necessari per renderla uno standard diffuso e recepito.

  • Oggi ho utilizzato per la prima volta una eID per connettermi al mio account Windows Live, che dire... un bel modo per effettuare il login anche se in generale (almeno per il momento) credo che mi rallenterebbe di un bel po' il login ai vari servizi che utilizzo.

  • @sirus et wisher: questa tecnologia/piattaforma è anche in grado di essere utilizzata per automatizzare le autenticazioni/autorizzazioni a livello applicativo, serve solo che venga adottata, ed effettivamente la velocità di diffusione dell'Identity Metasystem come framework è un punto chiave. Personalmente non so quanto ci vorrà, ma credo che si stia percorrendo la strada giusta.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment