Sistemi di autenticazione e mobile banking, i veri rischi che le banche nascondono

[FogOnLine]

Sì, ammesso che non sottenda anche un furto d'identità con colpa grave del cliente, in quel caso la situazione sarebbe più grigia.

Uno swap sim in cui un operatore fornisce una sim sostitutiva a qualcuno che non è il titolare legittimo può sottintendere solo tre casi:

1) addetto dell'operatore che ha avuto un comportamento 'leggero' e non ha operato tutti i controlli per accertarsi dell'identità del cliente (in molti casi basterebbe la richiesta di vedere la SIM originale e chiedere il codice ICCID);
2) la presentazione di un documento di identità falso;
3) un addetto dell'operatore "infedele".

In nessuno dei tre casi si può ravvisare una responsabilità del cliente, peraltro l'associazione dati cliente a numero telefonico non è certo segreto industriale e, anche lo fosse, gli innumerevoli data breaches che hanno coinvolto banche e servizi vari ci hanno messo il carico da undici (diciamo che furto d'identità in questo caso non rileva).

 

[tobyy]

Uno swap sim in cui un operatore fornisce una sim sostitutiva a qualcuno che non è il titolare legittimo può sottintendere solo tre casi:

1) addetto dell'operatore che ha avuto un comportamento 'leggero' e non ha operato tutti i controlli per accertarsi dell'identità del cliente (in molti casi basterebbe la richiesta di vedere la SIM originale e chiedere il codice ICCID);
2) la presentazione di un documento di identità falso;
3) un addetto dell'operatore "infedele".

In nessuno dei tre casi si può ravvisare una responsabilità del cliente, peraltro l'associazione dati cliente a numero telefonico non è certo segreto industriale e, anche lo fosse, gli innumerevoli data breaches che hanno coinvolto banche e servizi vari ci hanno messo il carico da undici (diciamo che furto d'identità in questo caso non rileva).

Concordo, in nessun caso si puo' imputare colpa grave al cliente nel caso di rilascio di sim sostitutiva a terzi.
Detto questo, essendo le app sono vulnerabili quanto l'sms pin allo swap sim, concordo che sia piu' sicuro l'sms pin. Poi se uno vuole usare l'app per comodita' o le banche vogliono spingere l'app per risparmiare sui costi nulla da ridire, ma la sicurezza non c'entra niente.

 

[pelon]

ma allora faccio bene a non aver mai associato il mio conto corrente con giacenza 300k a un numero di sim per operare online visto che compro solo al supermercato ?

 

[FogOnLine]

Concordo, in nessun caso si puo' imputare colpa grave al cliente nel caso di rilascio di sim sostitutiva a terzi.
Detto questo, essendo le app sono vulnerabili quanto l'sms pin allo swap sim, concordo che sia piu' sicuro l'sms pin. Poi se uno vuole usare l'app per comodita' o le banche vogliono spingere l'app per risparmiare sui costi nulla da ridire, ma la sicurezza non c'entra niente.

La sicurezza non è mai assoluta e dipende molto dall'uso che se ne fa. Un sms otp non è "più sicuro" in termini assoluti, dipende sempre da un insieme di fattori tra cui la "robustezza" dei protocolli delle compagnie telefoniche.

Come esempio, gli sms sono soggetti ad una vulnerabilità legata al SS7.
Gli operatori telefonici che operano in Italia, evidentemente, adottano protocolli di gestione che ne minimizzano l'impatto visto che non mi risultano caso di sfruttamento della "falla".

Al contrario, la falla è stata usata piuttosto diffusamente in Germania qualche anno fa e ha coinvolto pesantemente clienti della compagnia O2 Telefonica.

Insomma, il sistema perfetto non esiste, se esistesse sarebbe un sistema di autenticazione a n fattori (con n che tende a infinito)... con usabilità 0.

 

[tobyy]

La sicurezza non è mai assoluta e dipende molto dall'uso che se ne fa. Un sms otp non è "più sicuro" in termini assoluti, dipende sempre da un insieme di fattori tra cui la "robustezza" dei protocolli delle compagnie telefoniche.

Come esempio, gli sms sono soggetti ad una vulnerabilità legata al SS7.
Gli operatori telefonici che operano in Italia, evidentemente, adottano protocolli di gestione che ne minimizzano l'impatto visto che non mi risultano caso di sfruttamento della "falla".

Al contrario, la falla è stata usata piuttosto diffusamente in Germania qualche anno fa e ha coinvolto pesantemente clienti della compagnia O2 Telefonica.

Insomma, il sistema perfetto non esiste, se esistesse sarebbe un sistema di autenticazione a n fattori (con n che tende a infinito)... con usabilità 0.

La sicurezza non è mai assoluta, ma che c'entra, questo non vuol dire che non esistano sistemi più sicuri di altri.

Un sms otp è più sicuro di un sistema che ha le stesse vulnerabilità dell'sms otp ed in più aggiunge altre vulnerabilità.

Ed è il caso dell'app token che si attiva tramite sms ed è pure vulnerabile al malware.

 

[stef_sport_2002]

La tesoreria della banca investe prevalentemente in titoli governativi in euro con scadenza breve (quindi con rendimento negativo).

Dimenticavo. Per l'operativita' in home banking loro usano per l'autenticazione a 2 fattori un generatore di token fisico nel quale devi inserire la carta di debito.
Lo trovo abbastanza piu' sicuro dei vari sms e ancora piu' sicuro delle app sul telefonino.
https://external-content.duckduckgo...0951/uqrwq7xgp444wz61_thumb800.png&f=1&nofb=1

 

[Rand0m]

Dimenticavo. Per l'operativita' in home banking loro usano per l'autenticazione a 2 fattori un generatore di token fisico nel quale devi inserire la carta di debito.
Lo trovo abbastanza piu' sicuro dei vari sms e ancora piu' sicuro delle app sul telefonino.
https://external-content.duckduckgo...0951/uqrwq7xgp444wz61_thumb800.png&f=1&nofb=1

Quel tipo di autenticazione lì lo usava Banco Posta 10 anni fa, io ho ancora il lettore dove andava inserita la carta.
Codice conto e OTP sostituisce il Lettore BancoPosta | Computer e Web
L'app su smartphone è perfettamente equiparabile ad un token fisico (Fineco permette al massimo 2 dispositivi associabili, cioè 2 token fisici)

 

[stef_sport_2002]

Quel tipo di autenticazione lì lo usava Banco Posta 10 anni fa, io ho ancora il lettore dove andava inserita la carta.
Codice conto e OTP sostituisce il Lettore BancoPosta | Computer e Web
L'app su smartphone è perfettamente equiparabile ad un token fisico (Fineco permette al massimo 2 dispositivi associabili, cioè 2 token fisici)

l'app sul telefono e' certamente equivalente, forse permette algo di crittografia anche piu' evoluti/quantum computing proof.
*MA*
il telefono puo' essere compromesso. Non lo considero piu' sicuro di un pc con qualunque versione di windows.
Avere il 2FA device fisicamente disconnesso da tutto il mondo per me e' fondamentale.

 

[Rand0m]

l'app sul telefono e' certamente equivalente, forse permette algo di crittografia anche piu' evoluti/quantum computing proof.
*MA*
il telefono puo' essere compromesso. Non lo considero piu' sicuro di un pc con qualunque versione di windows.
Avere il 2FA device fisicamente disconnesso da tutto il mondo per me e' fondamentale.

Io giudico più sicuro un telefono, soprattutto in caso di sistema operativo iOS. Un token fisico (come bancomat e lettore) se rubato può essere usato a piacimento. Lo smartphone no, pure che me lo rubano rimane un mattone inutile, protetto da autenticazione biometrica (riconoscimento facciale, impronta digitale, pin etc). Comprometterlo è una pratica difficilissima. Ricordo che gli Stati Uniti, per accedere ad un iPhone che era stato posseduto da un killer, dovettero addirittura rivolgersi ai servizi segreti di Israele per entrarci dentro, visto che Apple si rifiutava di aiutarli nello sblocco. Sinceramente mi fa sentire più sicuro uno strumento del genere che un bancomat con un lettore privo di qualsiasi metodo di sicurezza

 

[jackls]

Io giudico più sicuro un telefono, soprattutto in caso di sistema operativo iOS. Un token fisico (come bancomat e lettore) se rubato può essere usato a piacimento. Lo smartphone no, pure che me lo rubano rimane un mattone inutile, protetto da autenticazione biometrica (riconoscimento facciale, impronta digitale, pin etc). Comprometterlo è una pratica difficilissima. Ricordo che gli Stati Uniti, per accedere ad un iPhone che era stato posseduto da un killer, dovettero addirittura rivolgersi ai servizi segreti di Israele per entrarci dentro, visto che Apple si rifiutava di aiutarli nello sblocco. Sinceramente mi fa sentire più sicuro uno strumento del genere che un bancomat con un lettore privo di qualsiasi metodo di sicurezza

Il bancomat/postamat richiede il pin per essere usato con il lettore bancoposta. Quanto all'impronta digitale, è stata introdotta per migliorare l'esperienza utente velocizzando l'accesso, non per migliorare la sicurezza. Infatti come misura di sicurezza è assai scarsa, dal momento che si lasciano quotidianamente molteplici copie delle impronte digitali sparse su tutto il telefono. Un po' come lasciare la password scritta su un post-it lasciato attaccato al telefono. Con la differenza che una password, se rubata, si cambia. L'impronta digitale no. Sull'iPhone vabbè, mi sembra il tipico caso di memoria selettiva... tu ricordi il caso del terrorista, io ricordo il caso di falle di sicurezza talmente gravi che bastava visitare un sito web per trovarsi lo smartphone hackerato.

 

[ik8vwa]

Io giudico più sicuro un telefono, soprattutto in caso di sistema operativo iOS. Un token fisico (come bancomat e lettore) se rubato può essere usato a piacimento. Lo smartphone no, pure che me lo rubano rimane un mattone inutile, protetto da autenticazione biometrica (riconoscimento facciale, impronta digitale, pin etc). Comprometterlo è una pratica difficilissima. Ricordo che gli Stati Uniti, per accedere ad un iPhone che era stato posseduto da un killer, dovettero addirittura rivolgersi ai servizi segreti di Israele per entrarci dentro, visto che Apple si rifiutava di aiutarli nello sblocco. Sinceramente mi fa sentire più sicuro uno strumento del genere che un bancomat con un lettore privo di qualsiasi metodo di sicurezza

Non riportiamo info inesatte per chi legge:
1) quando negli Usa vollero sbloccare l'iphone non si rivolsero a nessun servizio segreto israeliano ma a una società che vende software per analisi forense in tutto il mondo;
2) delle impronte sparse sugli oggetti e sul telefono stesso non te ne fai nulla. Due anni fa a un convegno hacker a mero scopo dimostrativo è stata riprodotta una impronta digitale siliconica ma PRIMA è stato necessario acquisire l'immagine del polpastrello AD ALTISSIMA DEFINIZIONE per poterla riprodurre IN 3D.
Signori, il tossico medio che ruba il telefono pensa solo a una cosa: la dose. Del conto corrente e delle info che ci sono dentro non gliene frega nulla.

Il bancomat/postamat richiede il pin per essere usato con il lettore bancoposta. Quanto all'impronta digitale, è stata introdotta per migliorare l'esperienza utente velocizzando l'accesso, non per migliorare la sicurezza. Infatti come misura di sicurezza è assai scarsa, dal momento che si lasciano quotidianamente molteplici copie delle impronte digitali sparse su tutto il telefono. Un po' come lasciare la password scritta su un post-it lasciato attaccato al telefono. Con la differenza che una password, se rubata, si cambia. L'impronta digitale no. Sull'iPhone vabbè, mi sembra il tipico caso di memoria selettiva... tu ricordi il caso del terrorista, io ricordo il caso di falle di sicurezza talmente gravi che bastava visitare un sito web per trovarsi lo smartphone hackerato.

 

[lastrico]

Il bancomat/postamat richiede il pin per essere usato con il lettore bancoposta. Quanto all'impronta digitale, è stata introdotta per migliorare l'esperienza utente velocizzando l'accesso, non per migliorare la sicurezza. Infatti come misura di sicurezza è assai scarsa, dal momento che si lasciano quotidianamente molteplici copie delle impronte digitali sparse su tutto il telefono. Un po' come lasciare la password scritta su un post-it lasciato attaccato al telefono. Con la differenza che una password, se rubata, si cambia. L'impronta digitale no. Sull'iPhone vabbè, mi sembra il tipico caso di memoria selettiva... tu ricordi il caso del terrorista, io ricordo il caso di falle di sicurezza talmente gravi che bastava visitare un sito web per trovarsi lo smartphone hackerato.

Non riportiamo info inesatte per chi legge:
1) quando negli Usa vollero sbloccare l'iphone non si rivolsero a nessun servizio segreto israeliano ma a una società che vende software per analisi forense in tutto il mondo;
2) delle impronte sparse sugli oggetti e sul telefono stesso non te ne fai nulla. Due anni fa a un convegno hacker a mero scopo dimostrativo è stata riprodotta una impronta digitale siliconica ma PRIMA è stato necessario acquisire l'immagine del polpastrello AD ALTISSIMA DEFINIZIONE per poterla riprodurre IN 3D.
Signori, il tossico medio che ruba il telefono pensa solo a una cosa: la dose. Del conto corrente e delle info che ci sono dentro non gliene frega nulla.

Non so chi abbia ragione sull'utilizzabilità delle impronte lasciate sull'apparecchio. Però nella pratica non capita di sentire notizie "Conto corrente svaligiato grazie all'impronta digitale sulla custodia", mi pare. Capita invece di sentire di phishing sempre più astuti, di malware anche bancari, di sim card "scambiate" per poter ricevere gli otp di autorizzazione disponendo già delle credenziali d'accesso.

L'impronta digitale sugli iPhone, in ogni caso, non viene utilizzata per l'accesso al momento dell'accensione. Se il telefono è spento, hai bisogno del pin, e dopo che lo sbagli dieci volte di seguito il telefono si blocca (a meno che non disabiliti questa opzione).

 

[ik8vwa]

Non so chi abbia ragione sull'utilizzabilità delle impronte lasciate sull'apparecchio. Però nella pratica non capita di sentire notizie "Conto corrente svaligiato grazie all'impronta digitale sulla custodia", mi pare. Capita invece di sentire di phishing sempre più astuti, di malware anche bancari, di sim card "scambiate" per poter ricevere gli otp di autorizzazione disponendo già delle credenziali d'accesso.

L'impronta digitale sugli iPhone, in ogni caso, non viene utilizzata per l'accesso al momento dell'accensione. Se il telefono è spento, hai bisogno del pin, e dopo che lo sbagli dieci volte di seguito il telefono si blocca (a meno che non disabiliti questa opzione).

Stessa cosa su Android: anche se hai l'impronta, a ogni riavvio del sistema ti chiede il pin. E questa è una cosa ottima perché non è necessario avere un iPhone da 1200 euro ma un Motorola da 250 per avere stessa sicurezza ;-)

 

[jackls]

Non riportiamo info inesatte per chi legge:
...
2) delle impronte sparse sugli oggetti e sul telefono stesso non te ne fai nulla. Due anni fa a un convegno hacker a mero scopo dimostrativo è stata riprodotta una impronta digitale siliconica ma PRIMA è stato necessario acquisire l'immagine del polpastrello AD ALTISSIMA DEFINIZIONE per poterla riprodurre IN 3D.

La prima frase che scrivi è smentita da te stesso nella seconda, a meno che tu non intenda erroneamente che vengano scattate foto ad alta definizione del polpastrello. Vengono scattate foto ad alta definizione di impronte lasciate su un oggetto o sul telefono stesso. Poi vengono riprodotte in 3d.

Questo scrivevano nel 2013:

"First, the residual fingerprint from the phone is either photographed or scanned with a flatbed scanner at 2400 dpi. Then the image is converted to black & white, inverted and mirrored. This image is then printed onto transparent sheet at 1200 dpi. To create the mold, the mask is then used to expose the fingerprint structure on photo-senistive PCB material. The PCB material is then developed, etched and cleaned. After this process, the mold is ready. A thin coat of graphite spray is applied to ensure an improved capacitive response. This also makes it easier to remove the fake fingerprint. Finally a thin film of white wood glue is smeared into the mold. After the glue cures the new fake fingerprint is ready for use."

Quello era il 2013, adesso usano stampanti 3D.

Questo quello che afferma chi si occupa di sicurezza informatica per mestiere:

"We hope that this finally puts to rest the illusions people have about fingerprint biometrics. It is plain stupid to use something that you can´t change and that you leave everywhere every day as a security token", said Frank Rieger, spokesperson of the CCC."

Che e' esattamente cio' che ho scritto. E del resto Apple e' la prima a chiedere il pin dopo un po' che il telefono e' spento. Perche' che il pin sia piu' sicuro dell'impronta e' la pura verita', non un'inesattezza.

 

[Rand0m]

Non so chi abbia ragione sull'utilizzabilità delle impronte lasciate sull'apparecchio. Però nella pratica non capita di sentire notizie "Conto corrente svaligiato grazie all'impronta digitale sulla custodia", mi pare. Capita invece di sentire di phishing sempre più astuti, di malware anche bancari, di sim card "scambiate" per poter ricevere gli otp di autorizzazione disponendo già delle credenziali d'accesso.

L'impronta digitale sugli iPhone, in ogni caso, non viene utilizzata per l'accesso al momento dell'accensione. Se il telefono è spento, hai bisogno del pin, e dopo che lo sbagli dieci volte di seguito il telefono si blocca (a meno che non disabiliti questa opzione).

Il riconoscimento biometrico su iPhone è una semplice "scorciatoia" per evitare di inserire il pin. Il pin in realtà viene sempre chiesto 1) ad ogni riavvio del telefono 2) ogni tot tempo, quando passa troppo tempo dall'ultimo sblocco 3) quando il riconoscimento biometrico fallisce per 3-4 volte consecutive. Il pin di base è a 6 cifre, è possibile renderlo più corto (4 cifre) o più complicato (alfanumerico). Oltretutto si può impostare l'iPhone in modo che formatti permanentemente il telefono dopo 10 tentativi errati. E' stato questo fattore che costrinse gli Stati Uniti a rivolgersi ad una società israeliana per sbloccarlo. Nello specifico gli USA sborsarono 900.000 dollari per svolgere l'hack.
Ecco quanto ha pagato l’FBI per sbloccare l’iPhone del terrorista San Bernardino - La Stampa
Non so a voi, ma a me avere in mano un dispositivo che per essere hackerato necessita di governo, FBI, società di hacking e 900k di pagamento, mi fa stare abbastanza tranquillo.
Riguardo alla presunta facilità con cui è possibile reperire e copiare un'impronta, sottolineo che 1) come detto prima l'impronta è una scorciatoia per evitare di inserire il pin ogni volta, ma può essere disabilitata e si può lasciare sempre attivo il pin, se proprio si è paranoici 2) in determinate situazioni anche con l'impronta attiva è comunque necessario inserire il pin 3) l'impronta digitale è stata da anni sostituita dal Face ID, riconoscimento biometrico facciale tridimensionale (non quella porcata che riconosce tramite la fotocamera frontale, si parla di un'elaborazione tridimensionale del volto). Come per l'impronta digitale, è possibile disattivarlo e affidarsi sempre al pin

 

[Lupak]

La frase chiave è "threat model"
State discutendo di sblocchi che richiedono un certo livello di specializzazione e competenze tecniche, almeno per ora, oltre che la vicinanza fisica alla vittima, mentre la maggior parte di chi fa phishing si basa sui grandi numeri e sulla scarsa dimestichezza della vittima con le procedure di banche ed istituzioni finanziarie. Su trecentomila tentativi, se 3-4 vanno a buon fine possono recuperare un bel bottino a fronte di uno sforzo ed una spesa minima.
In quest'ultimo caso, l'autenticazione dell'accesso o della disposizione fatta online si dimostra più solida rispetto a quella classica offline perché in questi casi l'utente che genera l'OTP sa anche per qualche tipologia di operazione lo sta generando.
Classico esempio:
- il nonnino riceve una mail dalla sua banca che dice che il conto è bloccato e contiene un link ad un sito identico a quello della banca, ma in realtà messo su da truffatori per carpire i suoi dati
- per sbloccarlo, va su quel sito ed inserire codice utente, password e codice OTP per accedere, dati che i truffatori adesso usano per accedere sul vero sito della banca
- il sito fasullo ora dice "Grazie mille. Per completare la procedura ora inserisci un altro codice OTP", codice che i truffatori usano per autorizzare un bonifico su un loro conto.
Con 2FA su smartphone, il nonnino riceverebbe prima una notifica di avviso di accesso al conto e quindi una che dice "stai per autorizzare il bonifico di 15.000 euro verso Principe di Nigeria, IBAN etc etc" al che il nonnino dovrebbe almeno farsi un problema in più e negare l'autorizzazione a questa operazione.

 

[airsolicitude]

Scusate se mi intrometto nella discussione, ho cercato di seguirla ma a fatica.
In sostanza, se si accede all'home banking tramite autenticazione con SMS OTP su un cellulare normale di vecchio stampo con una sim nuova (numero nuovo) che si usa solo per questo scopo, al momento attuale sarebbe la situazione migliore in termini di sicurezza?

 

[Vincent Vеga]

a mio avviso sì
alcuni ti faranno notare che si possono inviare SMS taroccando il mittente, ma se è un numero ad hoc lo vedo poco probabile
il problema è che diverse banche non accettano più l'SMS OTP, quindi se non ti fanno fare la Secure Call in genere chiedono un token fisico
ma ormai abbiamo tutti uno smartphone vecchio da usare come token, quindi già che devi fare un numero nuovo, puoi riciclare lo smartphone antico da tenere tra le tombe etrusche e i faraglioni
cosa ben diversa invece installare le app bancarie nello smartphone che si porta a passeggio tutti i giorni

 

[airsolicitude]

a mio avviso sì
alcuni ti faranno notare che si possono inviare SMS taroccando il mittente, ma se è un numero ad hoc lo vedo poco probabile
il problema è che diverse banche non accettano più l'SMS OTP, quindi se non ti fanno fare la Secure Call in genere chiedono un token fisico
ma ormai abbiamo tutti uno smartphone vecchio da usare come token, quindi già che devi fare un numero nuovo, puoi riciclare lo smartphone antico da tenere tra le tombe etrusche e i faraglioni
cosa ben diversa invece installare le app bancarie nello smartphone che si porta a passeggio tutti i giorni

Ho un vecchio cellulare Nokia normale - no smartphone - che può ricevere ovviamente sms. Tengo quello a casa e accedo alla banca online da pc, con autenticazione sms otp su una sim comprata nuova di pacca con un numero nuovo mai usato, che userò solo per questo scopo (no chiamate vocali).
L'unica cosa da fare attenzione è un possibile sim swap ma che probabilità ci sono su un numero nuovo di pacca, sim nuova di pacca, numero mai dato in giro, mai usato su internet?

 

[lastrico]

Ho un vecchio cellulare Nokia normale - no smartphone - che può ricevere ovviamente sms. Tengo quello a casa e accedo alla banca online da pc, con autenticazione sms otp su una sim comprata nuova di pacca con un numero nuovo mai usato, che userò solo per questo scopo (no chiamate vocali).
L'unica cosa da fare attenzione è un possibile sim swap ma che probabilità ci sono su un numero nuovo di pacca, sim nuova di pacca, numero mai dato in giro, mai usato su internet?

Il numero identificativo della sim (con il quale si può iniziare la procedura di cambio sim) non è un segreto, passa per le mani di rivenditori e operatori di call center e di chiunque abbia in mano il tuo telefono ed estragga la sim card...
Inoltre la vicenda Ho Mobile ha mostrato che l'ICCID non viene considerato dagli operatori un dato sensibile da proteggere particolarmente, ma un semplice dato amministrativo interno.
Anche l'idea di usare un vecchio telefono dedicato solo come token ha pro e contro secondo me. Se magari non lo usi per qualche giorno, non ti accorgi nemmeno dello swap.