Dilemma Password

gianco122 · 2023-08-23T14:24:01+00:00

Chiedo scusa se l'argomento è stato trattato ma facendo una ricerca non ho trovato niente di specifico, quindi vengo al punto. Approfittando del periodo di s...

[cancellato]

xblitz E la dimostrazione che quello che sostengo è vero è una dimostrazione che s'è rivelata vera almeno dal 1945.

Di nuovo, stai facendo confusione fra software closed source e algoritmi proprietari - che non sono la stessa cosa. L'implementazione closed source di un algoritmo pubblicato e verificato (es. AES) non è automaticamente inferiore ad una open source. Un altro conto sarebbe un algoritmo proprietario non verificato crittograficamente da nessuno competente. Ideare un algoritmo di crittografia è molto, molto più difficile che implementarne uno pubblicato. Hai idee molto confuse, stai mischiando mele con arance, e finisci per confondere altri.

xblitz Quindi mi stai dando ragione.

Tu l'hai riportato - incorrettamente - in senso positivo, di nuovo con scarsa verifica di fatti e fonti. Il caso Boeing è il classico caso dove non avendo la FAA le risorse per fare un auditing adeguato non è stato fatto, e Boeing ha pensato di approfittarne per risparmiare, con risultati disastrosi. E quanti pensi possano fare l'analisi di un sistema avionico?

edofullo Siete fuori tema, chiudetela qui grazie.

Il problema è che rischia di far escludere all'OP una serie di software perfettamente validi solo per ragioni ideologiche. È un po' come chi consiglia i Fritz a prescindere - perché internet gli dice che sono i migliori. Certi miti, però, vanno sfatati, o non si sta facendo informazione corretta.

Comunque ora ripartiamo... fino a settembre non darò più fastidio....

Cal

[cancellato] L'implementazione closed source di un algoritmo pubblicato e verificato (es. AES) non è automaticamente inferiore ad una open source.

Anche perché gli algoritmi crittografici più comuni sono implementati in hardware, e non mi pare che le CPU amd/intel siano open source. E sarebbe un mondo molto triste senza accelerazione hardware per AES.

xblitz

[cancellato] mi hai messo in bocca cose che non ho detto ne pensato - infatti ti ho chiesto di quotarle e non puoi.

Riduciamo tutto ai minimi termini:

xblitz kmorwath Di nuovo, quello che conta è la competenza di chi fa gli audit

Esatto, infatti sto ancora aspettando:

xblitz un software closed source che ha passato a pieni voti l'auditing di 3 stati membri + l'auditing della UE?

Se permetti questo è un pedigree di un certo peso. Il programma che c'e l'ha è a sorgente aperto... è un caso? forse si, forse no. Intanto io aspetto il tuo contraltare.

kmorwath E questo non dipende se è open source o no.

Vorrei vedere dove ho detto ciò. Io ho solo detto che:

xblitz Qui si sta mettendo in dubbio il dato di fatto che la filosofia closed-source vada bene in ambito crittografico

e ripeto: stiamo parlando di una specifica categoria di software... non me la menare con la storiella open source\closed source perché con me non attacca.

Cal in hardware, e non mi pare che le CPU amd/intel siano open source

Ovviamente: se, per asurdo, fossero open source è ragionevole SUPPORRE che la probabilità di finire in un "cul de sac" sarebbe minore.

walt

In ambito password manager cloud closed-source che parere avete di RoboForm?

Cal

xblitz Ovviamente: se, per asurdo, fossero open source è ragionevole SUPPORRE che la probabilità di finire in un "cul de sac" sarebbe minore.

Certo, ed è indifendibile. Ma sono algoritmi ben definiti e con risultati riproducibili. AES è pubblico, e sono davvero poche centinaia/migliaia le persone in grado di dire se ha problemi.

Le sue implementazioni... dovrebbe essere abbastanza chiaro se fanno casino.

xblitz

Cal Le sue implementazioni... dovrebbe essere abbastanza chiaro se fanno casino.

Purtroppo non è così scontata come cosa, anzi, visto che bene o male stiamo parlando di macchine a stati finiti non basta verificare che l'output sia in accordo con l'input ma bisogna valutare anche quella che, in gergo, si chiama "storia passata" ovvero gli input dati in tempi passati. In teoria c'è sempre il metodo "brute force" ovvero dare in ingresso tutti i possibili dati, però bisogna anche darli in maniera tale da vagliare tutte le possibili combinazioni pregresse di stati. E' un lavoro molto complesso.

Quindi abbiamo 2 problemi:

1) testa l'affidabilità dell'algoritmo\i usati che è una cosa che riguarda principalmente i matematici
2) testare l'implementazione che è quello di cui parlavo sopra.

Nello specifico Word e RAR possono dire di usare la crittografia XYZ e quello è sicuramente vero - studi hanno dimostrato che sono crittografie affidabili. Ma dell'implementazione che cosa possiamo dire se è a sorgente chiuso?

dadep

Non ho letto tutto il thread, comunque io uso keepass sul pc e keepass2android sul telefono, con db condiviso su Dropbox.
In questo modo qualsiasi aggiunta/modifica su un device viene automaticamente sincronizzata sull'altro.
Inoltre keepass ha una serie di plugin parecchio interessanti, tra i quali gli addon per browser per la compilazione automatica delle pagine di login.

Cal

xblitz ok, ma lì a meno di backdoor introdotte in malafede cosa vuoi trovare?

Software poco affidabile può ovviamente può salvarsi il cleartext da qualche parte, ma dubito in Microsoft siano così incoscienti. (e non ha nulla a che vedere con la crittografia)

xblitz

Cal Purtroppo le backdoor sono un problema ma non l'unico.

P. es: https://it.wikipedia.org/wiki/Attacco_del_compleanno#Implicazioni_in_crittografia

Magari l'algoritmo matematico è esente dal problema ma chi ce l'implementazione X non lo introduca? sono cose MOLTO complicate per questo la trasparenza è necessaria se vuoi apparire come software house seria.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile