Fol News

Tutti gli approfondimenti
Tutte le notizie

Sistemi di autenticazione e mobile banking, i veri rischi che le banche nascondono

Token software (app)

Diiventa molto difficile fare osservazioni pertinenti.
Trattandosi di procedure software e non hardware, le possibili varianti sono praticamente infinite, ogni app ha caratteristiche proprie.

In genere le funzioni token sono aggiunte in app bancarie multifunzione; in pratica le banche offrono app token per spingere i clienti al mobile banking e in particolare al mobile trading, attività per loro molto redditizia.
Però dal punto di vista logico non c'è alcun legame tra la funzione token e il mobile banking; ad esempio un utente può usare l'app token in un tablet "casalingo", o in emulatore Android su PC.

Qui riporto solo le osservazioni relative alla funzione token software, non gli aspetti generali relativi al mobile banking.



=== /1811135-nuovo-caso-di-furto-su-conto-widiba-32.html
Leo2015 03-07-17, 17:54 #327
Non so se valga per tutte le App ma la maggioranza sono capaci di generare la OTP senza necessità di una linea dati attiva

Parnas 03-07-17, 18:19 #328
Mai visti token che volessero la connessione a Internet, se non per inizializzare il token la prima volta.

rodka 03-07-17, 18:59 #330
Sembra che l'app di rendimax non funzioni senza connessione.



=== /1744410-truffatori-entrati-nel-conto-widiba-146.html
Vincent V?ga 16-11-16, 17:07 #1451
è un pericolo avere l'APP che fa da token nel cellulare dove è inserita la SIM certificata (ti rubano il cell e hanno già 2/3 di quel che serve per entrare); poi nel cellulare spesso c'è anche la stessa email usata per notifiche o per il recupero credenziali che va a peggiorare il quadro.

=== /1743050-conto-corrente-di-webank-faq-nei-primi-post-cap-xiii-87.html
Parnas 04-10-16, 23:59 #892
C'è un meccanismo di auto-provisioning del token su un nuovo dispositivo; come viene implementato questo meccanismo determina il livello di sicurezza del token.
Nel caso della banca potrebbe essere, ad esempio, un PIN tipo quello del bancomat che viene fornito all'apertura del conto, e che bisogna conoscere per installare il token su un nuovo telefono (sto inventando, eh).


=== /1768904-conto-corrente-hello-money-di-hello-bank-cap-ix-39.html
Parnas 30-10-16, 18:28 #389
Il problema dei soft-token, in generale, è il livello di sicurezza del provisioning, ovvero della procedura per creare un nuovo token; su HelloBank è una cavolata, se non ricordo male mandano solo un codice OTP via SMS (quindi con uno swap SIM o procedura simile si possono creare un token per accedere al tuo conto).
 
SilvioVernillo ha scritto:
Diiventa molto difficile fare osservazioni pertinenti.
Trattandosi di procedure software e non hardware, le possibili varianti sono praticamente infinite, ogni app ha caratteristiche proprie.

In genere le funzioni token sono aggiunte in app bancarie multifunzione; in pratica le banche offrono app token per spingere i clienti al mobile banking e in particolare al mobile trading, attività per loro molto redditizia
Clicca per espandere...
Non tutte le banche richiedo l'inserimento della OTP per le operazioni di trading ,che ,a veder bene,sono operazioni interne al conto (da c/c al dossier titoli)
 
Rassegna sulla sicurezza

Riassumo quelli che ritengo gli interventi recenti più significativi in tema di sicurezza bancaria "pratica".
Aggiungerò il mio punto di vista più avanti.


=== /1803068-conto-corrente-webank-di-banca-popolare-di-milano-cap-xiv-111.html
FogOnLine 28-09-17, 09:21 #1109
Il token fisico Webank è a pagamento (come già ampiamente annunciato ).

gianfra66 28-09-17, 10:11 #1112
ma perchè utilizzare un genera codici a pagamento quando usando l'app non costa nulla!

FogOnLine 28-09-17, 11:25 #1113
Perchè alcuni di noi nutrono seri dubbi sulla gestione della sicurezza su smartphone e preferiscono utilizzare un sistema non connesso alla rete e quanto più possibile disgiunto da informazioni quali numeri di telefono, indirizzi e-mail e quant'altro risiede sui nostri dispositivi mobili (il token, appunto).

gianfra66 28-09-17
Non voglio sollevare nessuna discussione è solo un mio pensiero:
Se uno passa ad un conto corrente on line non dovrebbe "avere seri dubbi sulla gestione della sicurezza" !

FogOnLine 28-09-17, 11:49 #1117
Non è questione di discussione ma di consapevolezza
Io ho conti on-line da almeno 10 anni e, per ragioni professionali, posso garantirmi un'ottima gestione della sicurezza sul mio PC. Non posso affermare altrettanto per quanto concerne il mio smartphone

esperanza 04-10-17, 13:54 #1168
Avrebbero fatto meglio a lasciare la carta dei servizi telematici abbinata eventualmente al telefono. Sono anni e anni che vado avanti con la carta e non è mai successo niente.

FogOnLine 04-10-17, 14:07 #1169
Da inizio 2018 le banche devono adeguarsi a direttive più stringenti sui sistemi di sicurezza (e questo non è un male).



=== /1744410-truffatori-entrati-nel-conto-widiba-178.html
john.player 11-10-17, 16:27 #1781
Unico limite dell'app? Che sulllo stesso telefono hai app che genera token ed app per l'homebanking.
Se perdi un solo oggetto, e sei così fesso da aver salvato la password, hai tutto quello che ti serve.

Leo2015 11-10-17, 16:56 #1782
Spesso si afferma che la banca deve approntare sistemi di sicurezza adeguati, e si può anche essere d'accordo, però una persona adulta non deve essere trattato come un bambino incapace di intendere e volere, se il telefono assume una rilevanza per operazioni bancarie si mette un PIN o abilitare il touchID, idem sulla SIM, e tantomeno deve salvare password come quelle della banca o Paypal o altri servizi critici o comunque non considerare tutti gli aspetti riguardanti la sicurezza, se non lo fa la responsabilità non solo giuridica ma anche morale e sua e soltanto sua

Lupak 11-10-17, 18:30 #1783
@john.player. Di solito entri nell'app inserendo un codice e generi token inserendo un altro codice.
Se poi ti segni tutti i codici dappertutto non c'è difesa che tenga.

FogOnLine 11-10-17, 18:44 #1784
Abbiate pazienza, ma se ne leggono di tutte. .....
La strong authentication, che prevede che i fattori di autenticazione siano su dispositivi 'disgiunti', non nasce per proteggere dal furto 'fisico' dell'oggetto.
Nell'era delle comunicazioni elettroniche lo scopo è evitare che un malvare (trojan, spylogger, etc...) installato all'insaputa dell'utente (e che è in grado di carpire TUTTO ciò che transita sul dispositivo, incluse password) possa avere a disposizione TUTTI i fattori di autenticazione in un colpo solo.

Leo2015 11-10-17, 19:10 #1785
Il problema delle intercettazioni delle comunicazioni non riguarda a mio parere la OTP via sms perché,come dice il termine, è una password usa e getta, una volta carpita essa è già stata utilizzata da colui che è entrato nel conto per effettuare l’operazione dispositiva.
Altro discorso se si parla di acquisire una pagina cifrata per decriptarla al fine di trovare le credenziali di accesso, cosa che per quanto mi risulta nessuno fa visto che ci sono metodi più semplici per rubare username e password.
Ciò non toglie che la OTP via sms presenti la vulnerabilità nota della swap sim che però per una cosa per certi versi più semplice di quella descritta su alcuni articoli e che dal punto di vista teorico potrebbe non violare il principio degli elementi disgiunti: uso un PC per disporre e un telefono per la OTP



=== /1821966-banca-popolare-bari-buono-150-euro-amazon-e-simili-per-nuove-aperture-72.html
bebbu 22-10-17, 19:16 #719
ci vuole un bel po di pazienza con le app delle banche, ad esempio pure con bancoposta devo contattare spesso il call center.



=== /1803068-conto-corrente-webank-di-banca-popolare-di-milano-cap-xiv-147.html
Parnas 29-10-17, 11:15 #1470
Come ingegnere che lavora nello sviluppo del software da una ventina d'anni, io ho sempre sostenuto che la sicurezza informatica di ogni sistema, in generale, è una scelta di compromesso che deve soppesare vari fattori tra cui costi, usabilità, ed entità del danno potenziale; non ha senso, nè è opportuno, mettere sicurezza di livello militare per proteggere l'account del forum di giallozafferano.it.
Nel merito specifico, ritengo la soluzione basata su app pensata da Webank molto valida in termini di sicurezza, rispetto ad altri token app che ho utilizzato, e personalmente utilizzandola su un tablet privo di SIM che non mi porto mai appresso la trovo sostanzialmente equivalente ad un token hardware nel cassetto della scrivania.
Dopodichè, come detto, dipende anche cosa c'è da proteggere: io su webank non ho nè vincoli nè titoli, solo poche centinaia di euro per spese correnti e l'appoggio della carta di credito, quindi non è per me un asset particolarmente "critico".




=== /1768904-conto-corrente-hello-money-di-bnl-cap-ix-180.html
Lupak 31-10-17, 21:54 #1798
Primi commenti veloci su Hello Bank.
L'app sarebbe anche bella, ma dai, se vuoi ricordare il codice di accesso (come penso sia normale per un'app) te lo lasciano totalmente in chiaro, mentre il token si genera senza l'inserimento di alcuna password.
Qui mi sembra un aspetto da migliorare.
Ma possibile che nessuna banca faccia un'app come si deve stile CheBanca? Non credo sia così difficile.

Tioppi 01-11-17, 02:36 #1799
Non avevo mai pensato al codice in chiaro, che in effetti su CheBanca è oscurato.
Invece mi ero già stupito del fatto che il token si genera con un click, visto che con CheBanca bisogna inserire il codice.
Già sollevai questo problema qui sul forum, ma alla fine è emerso che il metodo di Hello Bank è già abbastanza sicuro. Quindi è CheBanca che è troppo sicura.

Lupak 01-11-17, 08:19 #1800
Sì, in effetti è il codice di accesso al conto, una volta che ti logghi si potrebbe oscurare del tutto o lasciare le ultime tre-quattro cifre, è comunque un dato da non lasciare in chiaro.
Il token in chiaro è a tutti gli effetti come un token fisico che ti porti appresso, quindi sicuro, l'unico mio dubbio è se serve ad autorizzare le operazioni disposte su app, perchè in tal caso basta solo la password di accesso per operare.



=== /1819494-conto-corrente-widiba-di-wise-dialog-bank-cap-xi-113.html
Atakanoseki 01-11-17, 21:24 #1125
Riporto quanto evidenziato in questa discussione
Truffatori entrati nel conto Widiba
Ciao a tutti, voglio darvi qualche news.
Allora il ricordo che ho fatto all'arbitro finanziario è stato accettato al 100%. Nel testo c'è espressamente scritto che la banca deve rimborsarmi del maltolto.
Il motivo principale è che ritengano nel 2017 Widiba una banca non sicura ed al passo con le leggi europee in quanto se, era presente un token (fisico, digitale o pin personale a memoria) per disporre qualunque operazione l'accaduto non sarebbe successo.
Poi ovviamente lo dicono in altre parole e termini ma questo è il riassunto delle due pagine scritte.
----------------------
A questo punto io spero che widiba si doti di un token al più presto, in vista anche delle raccomandazioni per la sicurezza previste per il 2018 per le quali molte banche si stanno adeguando

Sbankalor 01-11-17,
In realtà la poca sicurezza secondo ABF allora riguarda tutte le banche online che adottano sms dispositivi perché si è soggetti allo swap sim....

Atakanoseki 01-11-17, 23:09 #1130
Se adottano solo SMS dispositivi.
Qui parla anche di pin "personale a memoria", penso sia equiparabile a Fineco, quindi in regola.
Webank ora ha il token e prima la tessera codici oltre agli SMS, anche CheBanca, quindi in regola
Tra le maggiori banche non mi viene in mente nessuna banca che abbia solo l'SMS come widiba
Magari le banche che adottano la sola Secure Call potrebbero essere equiparabile all'SMS

Leo2015 02-11-17,
la strong authentication (è indicata con questo termine proprio nella PSD2) si può tradurre in italiano in sistema a doppia verifica; l'OTP sms è usato anche da società come Google o Apple.

marcodollaro 02-11-17,
allora in base alle esperienze raccolte qui nel thread Widiba sul lato sicurezza non offre le garanzie di altri conti on line?
Per le informazioni raccolte CHE BANCA conto digital ''possiede'' la matrice dispositiva.
Per FINECO, Hello bank, non so.

Parnas 02-11-17, 21:56 #1169
Chebanca si è adeguata alle direttive europee e ora ha il soft-token, la battaglia navale era il sistema vecchio.
Strong Authentication - Sicurezza Online - CheBanca!
https://www.chebanca.it/wps/wcm/connect/istituzionale/footer/sicurezza/strong_authentication
FINECO e Hello bank sostanzialmente poggiano entrambi su OTP via SMS:
- Hello bank formalmente ha il token app, ma chiunque può installarsi l'app e associarla al conto con un codice inviato via SMS, quindi... ça va sans dire, chi ti swappa la SIM si può installare il token sul suo smartphone. Valore aggiunto = zero.
- Fineco manda OTP via SMS e in più ha un PIN dispositivo.
 
JohannesBrahms ha scritto:
Anche perché un token che richiede il pin lo trovo più sicuro: anche se ti rubano il token, senza pin non ci fanno nulla.

N.B. Almeno in teoria: poi bisogna vedere come verificano l'identità di chi chiama per chiederne il reset. Immagino già il dialogo telefonico...

Ladro: Buongiorno, ho sbagliato troppe volte il pin del mio token, e si è bloccato.
Webank: Lei come si chiama?
Ladro: Johannes Brahms.
Webank: Quando è nato?
Ladro: Ad Amburgo, il 5 maggio 1833.
Webank: Mi dica il suo codice fiscale.
Ladro: BRHJNN33E07Z112N.
Webank: Bene. Lei è sicuramente Johannes Brahms redivivo: chi altro potrebbe essere a conoscenza di queste segretissime informazioni? Ora le diamo le istruzioni per resettare il token. Dovrà ovviamente scegliere un nuovo pin.
Ladro: Grazie molte, è stato molto gentile (si frega le mani, preparandosi a svuotare il conto).

In realtà non so se una procedura del genere sia prevista per il token hardware, ma quando mio figlio ha formattato il telefono, per ripristinare l'app in modo che generasse OTP è andata proprio così...
Clicca per espandere...

Riporto questo mio intervento, perché penso che il punto debole di tutti i conti online sia la procedura di recupero password/recupero pin/disattivazione e riattivazione token software o hardware. Se dando semplicemente nome, cognome e codice fiscale mi resettano il token, senza verificare veramente la mia identità, chiunque (magari con uno swap sim per far vedere che chiama dal numero certificato) potrebbe acquisire le mie credenziali e svuotarmi il conto. Con un token hardware diventa un po' più difficile, perché devono impossessarsene materialmente, ma non del tutto impossibile.
 
JohannesBrahms ha scritto:
Riporto questo mio intervento, perché penso che il punto debole di tutti i conti online sia la procedura di recupero password/recupero pin/disattivazione e riattivazione token software o hardware. Se dando semplicemente nome, cognome e codice fiscale mi resettano il token, senza verificare veramente la mia identità, chiunque (magari con uno swap sim per far vedere che chiama dal numero certificato) potrebbe acquisire le mie credenziali e svuotarmi il conto. Con un token hardware diventa un po' più difficile, perché devono impossessarsene materialmente, ma non del tutto impossibile.
Clicca per espandere...
Sì, ma come resettano/riattivano il token su nuovo smartphone?
Credo ormai tutte abbiano procedure consolidate e non si fermano al nome, cognome e soliti dati noti
 
Riferimenti normativi

Direttiva PSD2 che deve essere recepita entro l'inizio del 2018:
http://data.consilium.europa.eu/doc/document/PE-35-2015-INIT/it/pdf
La direttiva è un testo normativo generale, in pratica si limita a sottolineare la necessita per molti servizi di pagamento di usare forme di "Autenticazione forte", ma demanda a normative tecniche ulteriori il compito di precisare il concetto.

Le normative tecniche sono definite in particolare da European Banking Authority (EBA):
Home - European Banking Authority
https://www.eba.europa.eu/languages/home_it
Autorita bancaria europea - Wikipedia
European Banking Authority - Wikipedia

Norme tecniche sull'autenticazione forte:
https://www.eba.europa.eu/regulatio...ntication-and-secure-communication-under-psd2
https://www.eba.europa.eu/-/eba-pav...ctronic-payments-for-consumers-under-the-psd2
https://www.eba.europa.eu/documents...+SCA+and+CSC+under+PSD2+(EBA-RTS-2017-02).pdf
http://www.bancaditalia.it/media/no...amenti?com.dotmarketing.htmlpage.language=102

Alcuni commenti
https://www.pagamentidigitali.it/pa...ve-regole-e-maggiore-chiarezza-nelle-deroghe/
https://www.pwc.com/it/psd2
 
I laboratori e la vita reale

EBA (che per inciso ha ancora sede a Londra nonostante la Brexit) ha ovviamente forti competenze in materie di procedure di pagamento, ma è anche necessariamente espressione del sistema bancario europeo.
L'ottica in cui vengono emesse le regole tecniche non è tanto quella di prevenire o ridurre al minimo gli incidenti, ma soprattutto di costruire un sistema di riferimento che in caso di incidenti tenga le banche quanto più possibile al riparo da conseguenze negative.
Se le banche si uniformano al quadro teorico sviluppato da EBA, qualsiasi incidente non potrà che essere addebitato all'imprudenza del cliente.

È il vecchio tema della traslazione del rischio e delle responsabilità di cui stiamo vedendo sul forum esempi anche in tema di assegni circolari e carte di pagamento; qualcuno parla di "liability shift", ma direi che è più espressivo il termine "scaricabarile".
L'abuso dell'innovazione tecnologica e finanziaria sta disegnando scenari di sempre maggior rischio, ma agli utenti viene prospettata una situazione illusoria di sicurezza e tranquillità, salvo poi scaricare su di essi le conseguenze di incidenti dovuti a tecnologie e procedure immature e non sufficientemente testate nei laboratori.
L'esasperazione delle logiche del "Just in time" ha trasformato il mondo in un laboratorio di beta testing.

Da un punto di vista puramente teorico, in un'ottica di laboratorio, è abbastanza plausibile che un sistema di generazione di password "usa e getta" offra notevoli garanzie di sicurezza; passando però dai laboratori alla vita reale, la gestione degli OTP coinvolge molte altre variabili che rendono il sistema molto problematico.
La sicurezza è molto più che la sola crittografia.
Il limite più evidente dei sistemi OTP è la necessità frequente di ricorso all'assistenza, con i conseguenti interrogatori di terzo grado cui l'utente è sottoposto: che fine fanno i dati personali? Come vengono tutelati?
Non bisogna mai dimenticare che la stragrande maggioranza degli attacchi informatici provengono dall'interno delle organizzazioni.
Ma i rischi più subdoli sono legati alla gestione degli OTP in mobilità, ci tornerò più avanti.

Per quanto mi riguarda continuo a ritenere che una tabella di codici predefiniti dematerializzata sia più semplice da gestire da parte degli utenti, e in ultima analisi più sicura degli OTP. Oltretutto il limite di circa trenta item era legato alla necessità di far entrare i codici in una tessera formato carta di credito, una tabella dematerializzata non ha questo limite, niente impedisce di predisporre tabelle dematerializzate con centinaia di codici anche complessi.

Saluti
 
Ultima modifica:
Rivalutazioni degli OTP SMS

Anticipo che anche il NIST ha parzialmente rivalutato gli SMS.

L'uso degli SMS come forma di autenticazione forte è visto con sospetto, perché nel tempo ha dato luogo a vari incidenti, anche all'estero.
In Italia si sono verificati vari incidenti, resi possibili dal verificarsi contemporaneo di due condizioni:
- era molto facile portare a termine operazioni di "SIM Swap".
- alcune banche consentivano il recupero delle credenziali di accesso al conto tramite SMS.

Oggi entrambe le condizioni sono sostanzialmente venute meno:
- le banche per il recupero delle credenziali non usano SMS ma procedure più complesse.
- l'identificazione dei titolari SIM è diventata più stringente.

In queste condizioni l'uso di OTP SMS non pone particolari problemi; un eventuale swap SIM da parte di malintenzionati non consentirebbe loro l'accesso al conto, visto che non è possibile recuperare le credenziali; e nessun malvivente si avventura in operazioni inutili.

Anche il NIST non sconsiglia più gli OTP SMS, continuando a sconsigliare l'uso degli SMS solo per operazioni critiche quali il recupero credenziali.
Sending out an S.O.S. for SMS | App Developer Magazine
NIST Softens Guidance on SMS Authentication - VASCO Data Security Blog

When NIST published its most recent draft, in June, however, a special publication entitled "Digital Identity Guidelines: Authentication and Lifecycle Management," the SMS deprecation had been removed.
 
Incidenti di sicurezza e fallimenti del forum

Mi è già capitato di esporre il problema nel thread:
Truffatori entrati nel conto Widiba
Ma il problema è più generale e si verifica anche in altri thread.

Quando un utente riporta al forum propri incidenti, il compito naturale di un forum di utenti sarebbe cercare di mettere a fuoco velocemente l'accaduto, e se possibile trovare rimedi per evitare ad altri lo stesso incidente.
Invece la risposta degli utenti molto spesso è inappropriata e non consente di raggiungere tale obiettivo.

Un primo errore è di pretendere dal malcapitato una ricostruzione chiara e lineare di quanto accaduto: chi è vittima di truffe o raggiri quasi mai ha una percezione chiara dell'accaduto, e d'altra parte la sua condizione psicologica non gli consente il massimo di lucidità, come per un pugile che ha subito un duro colpo.

Un secondo errore più subdolo ma anche più grave, al limite dello sciacallaggio, è di dare per scontato che l'utente abbia commesso qualche leggerezza, sia in qualche modo corresponsabile dell'accaduto.
Questo tipo di reazione è spesso un meccanismo di difesa inconscio volto ad allontanare l'ansia connessa alla percezione di rischio: a me non può succedere, è successo a lui perché ha sbagliato.
Questi atteggiamenti ci sono stati anche nel thread citato, nei confronti dell'autore @italianboss12; che però alla fine ha ottenuto un rimborso pressoché totale dall'ABF, il che indica che in realtà non aveva commesso leggerezze particolari.

Questi atteggiamenti hanno vari effetti negativi, in particolare:
- rallentano la messa a fuoco del problema e l'individuazione di soluzioni.
- scoraggiano gli utenti a portare al forum le proprie esperienze negative.
Questo implica un aumento del rischio comune per tutti gli utenti del forum.
 
Lupak ha scritto:
Sì, ma come resettano/riattivano il token su nuovo smartphone?
Credo ormai tutte abbiano procedure consolidate e non si fermano al nome, cognome e soliti dati noti
Clicca per espandere...
Ad entrambi i miei figli (uno per il reset del token, l'altro per quello della password) hanno chiesto solo i soliti dati noti...
 
JohannesBrahms ha scritto:
Ad entrambi i miei figli (uno per il reset del token, l'altro per quello della password) hanno chiesto solo i soliti dati noti...
Clicca per espandere...
In questa discussione però bisogna distinguere tra discorsi generali e quelli sulle procedure della singola banca.
Ogni procedura di reset (anche delle credenziali dell'home banking) presenta delle criticità, ma se la banca adotta le procedure corrette allora non dovrebbero esserci problemi.
Una cosa è discutere se lo smartphone o il tablet in generale siano uno strumento sicuro per contenere un token o su cui installare un'app che ti da pieno accesso al tuo conto - discorso che a me piacerebbe poter affrontare serenamente con delle persone competenti quale io non sono :D - altra cosa è dire che una banca ti riattiva un token con le solite domande di cui tutti conoscono le risposte senza però sapere che la banca magari ha accesso a dati (come IMEI, account del telefono, rete da cui sei collegato etc etc) che in determinati casi la portano a non farti il terzo grado durante queste procedure.
Altre banche invece hanno procedure potenzialmente "pericolose" e non c'è nulla da fare...
Restando in ambito token una cosa è l'app CheBanaca! altra è quella Hello Bank! con al prima che secondo me rappresenta il top in termini di sicurezza, l'altra invece ha delle criticità
 
Dal mio punto di vista il reset credenziali andrebbe fatto o fisicamente o tramite un filmato video (come dicono faccia ora widiba).
Fisicamente come fisicamente sostituiscono i token hw le banche fisiche e fisicamente come un titolare di cc online si reca a prelevare o versare in una filiale fisica di riferimento senza farsi problemi (non userà l'ATM evoluto, ma dovrà solo avere un po' più di tempo ed entrare in filiale). Alternativa per chi vuole, non ha tempo, non ha voglia, non ha la filiale vicina, userà un filmato video (se non ha riserve per la sua privacy).
 
SilvioVernillo ha scritto:
Anticipo che anche il NIST ha parzialmente rivalutato gli SMS.

L'uso degli SMS come forma di autenticazione forte è visto con sospetto, perché nel tempo ha dato luogo a vari incidenti, anche all'estero.
In Italia si sono verificati vari incidenti, resi possibili dal verificarsi contemporaneo di due condizioni:
- era molto facile portare a termine operazioni di "SIM Swap".
- alcune banche consentivano il recupero delle credenziali di accesso al conto tramite SMS.

Oggi entrambe le condizioni sono sostanzialmente venute meno:
- le banche per il recupero delle credenziali non usano SMS ma procedure più complesse.
- l'identificazione dei titolari SIM è diventata più stringente.

In queste condizioni l'uso di OTP SMS non pone particolari problemi; un eventuale swap SIM da parte di malintenzionati non consentirebbe loro l'accesso al conto, visto che non è possibile recuperare le credenziali; e nessun malvivente si avventura in operazioni inutili.

Anche il NIST non sconsiglia più gli OTP SMS, continuando a sconsigliare l'uso degli SMS solo per operazioni critiche quali il recupero credenziali.
Sending out an S.O.S. for SMS | App Developer Magazine
NIST Softens Guidance on SMS Authentication - VASCO Data Security Blog

When NIST published its most recent draft, in June, however, a special publication entitled "Digital Identity Guidelines: Authentication and Lifecycle Management," the SMS deprecation had been removed.
Clicca per espandere...

widiba stessa che usa esclusivamente gli SMS OTP non ritiene del tutto sicuro questo sistema in quanto viene segnalato da vari utenti i quali vengono contattati telefonicamente dall'ufficio sicurezza della banca in determinate circostanze (non determinabili a priori) per lo sblocco di bonifici in uscita che altrimenti rimarrebbero bloccati per motivi di sicurezza
 
Ultima modifica:
SilvioVernillo ha scritto:
Anticipo che anche il NIST ha parzialmente rivalutato gli SMS.

L'uso degli SMS come forma di autenticazione forte è visto con sospetto, perché nel tempo ha dato luogo a vari incidenti, anche all'estero.
In Italia si sono verificati vari incidenti, resi possibili dal verificarsi contemporaneo di due condizioni:
- era molto facile portare a termine operazioni di "SIM Swap".
- alcune banche consentivano il recupero delle credenziali di accesso al conto tramite SMS.

Oggi entrambe le condizioni sono sostanzialmente venute meno:
- le banche per il recupero delle credenziali non usano SMS ma procedure più complesse.
- l'identificazione dei titolari SIM è diventata più stringente.

In queste condizioni l'uso di OTP SMS non pone particolari problemi; un eventuale swap SIM da parte di malintenzionati non consentirebbe loro l'accesso al conto, visto che non è possibile recuperare le credenziali; e nessun malvivente si avventura in operazioni inutili.

Anche il NIST non sconsiglia più gli OTP SMS, continuando a sconsigliare l'uso degli SMS solo per operazioni critiche quali il recupero credenziali.
Sending out an S.O.S. for SMS | App Developer Magazine
NIST Softens Guidance on SMS Authentication - VASCO Data Security Blog

When NIST published its most recent draft, in June, however, a special publication entitled "Digital Identity Guidelines: Authentication and Lifecycle Management," the SMS deprecation had been removed.
Clicca per espandere...

ora dovrebbero spiegarlo anche a gmail che il recupero password con sms non e' cosa buona :(
 
Atakanoseki ha scritto:
widiba stessa che usa esclusivamente gli SMS OTP non ritiene del tutto sicuro questo sistema in quanto viene segnalato da vari utenti i quali vengono contattati telefonicamente dall'ufficio sicurezza della banca in determinate circostanze (non determinabili a priori) per lo sblocco di bonifici in uscita che altrimenti rimarrebbero bloccati per motivi di sicurezza
Clicca per espandere...
I problemi di sicurezza di Widiba non sono dovuti all'OTP SMS, ma a procedure interne anocora incerte; e le continue richieste di dati ai clienti non fanno che accrescere il problema.
Come dicevo, la sicurezza è molto più della crittografia; se anche istituisse un token fisico, Widiba continuerebbe ad avere problemi di sicurezza.
Saluti
 
Devi accedere o registrarti per poter rispondere.
Indietro