1. Forum
  2. Fidonet Spanish
  3. ESP.SEGURIDAD

  • Blockchain como (posible) substituto del password

    From Enric Lleal Serra@2:343/107.1 to All on Tue Dec 5 16:13:04 2017
    ­Hola All!


    Hay varias noticias[1] hoy (curioso) sobre la posibilidad de aprovechar el concepto tecnológico de la implementación blockchain para substituir el concepto de 'contraseña' y devolver al usuario la posesión de su identidad y de
    sus procesos de autenticación/autorización.

    Si bien el enfoque es muy interesante, como siempre choca directamente con dos aspectos a tener en cuenta:

    - el actual parque de aplicaciones/sistemas informáticos funciona en su casi totalidad sobre contraseñas y federación de autenticado,

    - el actual usuario es (soy/somos?) un lerdo e inconsciente, y devolverle la responsabilidad de tener y custodiar sus datos es (puede ser) una locura.

    A parte de eso, pensadlo. :-)


    [1]https://www.technologyreview.es/s/9821/blockchain-podria-derrocar-las-contra
    senas-y-devolver-la-identidad-digital-sus-usuarios


    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... La vida es tristeza, supérala. (María Teresa de Calcuta)
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Wed Dec 13 00:58:03 2017
    Si bien el enfoque es muy interesante, como siempre choca directamente
    con dos aspectos a tener en cuenta:

    Yo añadiria uno mas, como pierdas el Wallet con las claves con las que firmas tus Logins a ver como evitas que otro haga Login por ti y como demuestras que ha sido otro.

    Me sigo quedando con el doble factor (Lo que sabes + (Lo que tienes / Lo que eres)) ...

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A35 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)
  • From Enric Lleal Serra@2:343/107.1 to Yeray A.Dorta on Wed Dec 13 14:42:53 2017
    ­Hola Yeray!

    El Miércoles 13 Diciembre 2017 a las 00:58, Yeray A.Dorta escribió a Enric Lleal Serra:

    Yo añadiria uno mas, como pierdas el Wallet con las claves con las que firmas tus Logins a ver como evitas que otro haga Login por ti y como demuestras que ha sido otro.

    Pero eres soberano y responsable, totalmente y con todas las consecuencias, de tu clave de acceso. Eliminas el vector de ataque en los servicios de autenticación (no más robos masivos), y los limitas y diversificas (de un servicio a atacar, a todos sus millones de usuarios).

    Si te roban, estás jodido. Como en la vida real. Y como en la vida real saldrían servicios de aseguradoras/etc.


    Me sigo quedando con el doble factor (Lo que sabes + (Lo que tienes /
    Lo que eres)) ...

    Yo el doble factor no lo veo. Puedo perderlo que tengo. Me pueden cortar (o arrancar) lo que soy (un dedo, o un ojo, por ejemplo). Y desde el momento en que ya pueden capturar tus patrones biológicos (actividad cerebral, ritmo cardíaco, cadencia de tecleo, etc), pueden reproducirlos. Al final, lo más seguro es una contraseña en tu cerebro. Lo más inseguro es cómo se chequea y dónde se almacena. :-?


    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... Toca antes del artista principal mientras ve arder la sala de conciertos: el te
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Thu Dec 14 01:30:40 2017
    Buenas Enric!

    Pero eres soberano y responsable, totalmente y con todas las consecuencias, de tu clave de acceso. Eliminas el vector de ataque en
    los servicios de autenticación (no más robos masivos), y los limitas y diversificas (de un servicio a atacar, a todos sus millones de usuarios).

    Si hackean Dropbox, se llevan las claves de Dropbox de 40 millones de
    personas. Si consiguen tu wallet, hackean de golpe todos tus servicios. Salvo que seas un suicida y reutilizes la misma clave en todos tus servicios, el
    daño queda acotado a un servicio aunque a muchas personas. Yo prefiero eso a que si mi wallet queda expuesto, queden todos mis servicios comprometidos.

    En resumen, prefiero el pequeño mal de muchos al supermega mal de uno solo, sobre todo si ese uno soy yo xD

    Si te roban, estás jodido. Como en la vida real. Y como en la vida real saldrían servicios de aseguradoras/etc.

    La diferencia es que si en la vida real te roban la cartera, te has dado
    cuenta de que te la han robado porque ya no la tienes. En este caso no te darias cuenta del robo hasta que alguien hiciese uso de tu identificador de acceso. Vamos, como clonarle el DNIe a alguien.

    Lo más inseguro es cómo se chequea y dónde se almacena. :-?

    Y el componente estupido del usuario. La gente usa la misma clave para todos sus servicios, cuando les toca cambiarlo lo hacen de Perro1 a Perro2, las apuntan en el cuaderno o directamente en el marco del monitor, las usan en terminales publicos como los hoteles, etc.

    Demasiada poca conciencia como para entregar a la gente un ID unico para identificarse - Hola DNIe -. Y esto ya ha pasado, la gente tenia un ID unico que vaya por dios, tiene una vulnerabilidad del copon y permite firmar y autenticarte como cualquier persona incluso documentos en el pasado. Y aqui tardamos dias en reaccionar y plantearnos revocar todos los DNIe.

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A35 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)
  • From Enric Lleal Serra@2:343/107.1 to Yeray A.Dorta on Thu Jan 4 14:24:41 2018
    ­Hola Yeray!

    El Jueves 14 Diciembre 2017 a las 01:30, Yeray A.Dorta escribió a Enric Lleal Serra:

    Demasiada poca conciencia como para entregar a la gente un ID unico
    para identificarse - Hola DNIe -.

    Entonces, si una gran porción de la población es inepta ¿qué hacemos?

    Protegemos demasiado algunas actitudes/temas/espacios, y desatendemos otros que
    necesitarían potenciarse... :-/

    (y estoy casi totalmente de acuerdo en el resto de tus opiniones)


    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... Crecer es una gran aventura si consigues mantener vivo al niño que llevas dentr
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)
  • From Yeray A.Dorta@2:341/203 to Enric Lleal Serra on Sat Jan 20 22:32:25 2018
    Demasiada poca conciencia como para entregar a la gente un ID unico para identificarse - Hola DNIe -.

    Entonces, si una gran porción de la población es inepta ¿qué hacemos?

    Pues igual deberiamos plantearnos si estamos preparados para masificar determinadas tecnologias antes de hacerlo.

    Ahora mismo seguimos la tactica de primero masificamos algo y luego
    analizamos a posteriori si estabamos preparados y como asegurarnos de que se use de manera segura y correcta.

    Y hay cosas para las que la poblacion en general no esta preparada (Y no te hablo solo de ancianos o de gente a la que esto le ha llegado tarde)

    [+] NetMail DevNull @ [2:341/203] [46:2/103] [57:245/13] [9:92/8]
    [+] PGP-KeyID (0x1352338D)

    --- Mystic BBS v1.12 A38 2018/01/01 (Raspberry Pi/32)
    * Origin: Bit's Lair BBS (2:341/203)