----- Forwarded message from Luca Bechelli <informazioni(at)bechelli.net> ----- From: Luca Bechelli <informazioni(at)bechelli.net> Subject: Re: [ml] Sicurezza reale di smart-card e token To: ml(at)sikurezza.org
Va considerato anche il punto di vista dell'azienda nei confronti dell'utente che tratta informazioni che appartengono, per l'appunto, all'azienda stessa. E' vero che una smartcard o un token OTP possono essere ritenuti sicuri quanto una password rispetto ad utenti interni a fronte dei comportamenti citati, ma ? altrettanto vero che se sono utilizzati per compiere qualche azione fraudolenta l'utente non pu? dire di aver protetto lo strumento di autenticazione in modo "diligente". In primis, perch? un uso fraudolento presuppone il possesso da parte di terzi, e quindi l'assenza di controllo/custodia dello strumento. Viceversa, la password come meccanismo ha delle debolezze intrinseche che impediscono ogni azione volta alla determinazione delle responsabilit?, favorendo comportamenti non corretti, piuttosto che limitarli. Infine, oltre ai problemi di sicurezza interni non bisogna dimenticare quelli esterni, ed in tal caso, tali strumenti offrono certamente un livello di sicurezza maggiore (e, di nuovo, riducono notevolmente la portata degli attacchi di ingegneria sociale). Ciao a tutta la lista! Luca [.. quote ..] Luca Bechelli Security Consultant mail: luca_AT_bechelli.net web: www.bechelli.net mob: 328 3164385 ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
