Raffaele wrote:
Ciao a tutti,
stamane appena cerco di entrare nel mio sito di Homebanking vengo
[...]
- deve essere diversa da quella precedente
- deve essere lunga almeno 8 caratteri
- deve contenere sia lettere che numeri
- non deve avere più di 2 caratteri consecutivi identici (es.: bbb, 111)
- non deve avere più di 2 caratteri consecutivi in sequenza
crescente/decrescente (ad es.: abc, 987, …)
- non deve contenere caratteri speciali (ad es.: ‘ , “ , < , < , ; , \ ,
/ , @ , & , % , …)
- non deve essere vuota
- non deve contenere l'Identificativo Utente.
[...]
Saluti a tutti,
ho letti i vari threads generati da questa email e naturalmente credo siamo tutti d'accordo sul fatto che la password
debba essere possibilmente casuale, non appuntata sullo schermo del computer e di una lunfhezza e complessita' tale da
non rendere banale un attacco in forza bruta.
Ma che ne direste se vi raccontassi che:
1) a novembre 2006 (1 anno fa) la mia banca (Xelion - Gruppo Unicredito) ha avuto nuove regole di gruppo, le quali
prevedono per l'accesso on-line come nome utente una sequenza di 8 caratteri numerici (imposti) e per password 5
caratteri numerici (a scelta dell'utente)
2) che mi sono rifiutato di confermare l'accesso modificando inserendo una nuova password secondo queste regole, quindi
non posso piu' accedere on-line allo sportello da quella data
3) che ho fatto presente per scritto alla Banca Xelion dell'assurdita' della
regola senza avere risposta
4) che "approfittando" dell'esistenza di regole tecniche della legge sulla riservatezza dei dati ho presentato una
segnalazione al Garante via email il 15/12/2006
5) che solo a fine marzo 2007 il Garante, su mio sollecito, mi dichiarava ricevuta la email, ma non sufficiente, in
quanto le segnalazioni alle violazioni della norma vanno effettuate con Raccomandata A.R
7) che fatta la raccomandata A.R. il 4 aprile 2007, il Garante intimava alla Banca Xelion, entro il 30/05/2007, di
fornire "le motivazioni per le quali il sistema non consente l'utilizzo di una password di almeno otto caratteri, come
previsto dalla regola 5 dell'all.B al d.lg.n.196/2003 (Codice in materia di protezione dei dati personali)
8) che alla data di oggi, il Garante non sa' darmi un tempo di chiusura, a mio
favore o meno, di questa pratica
(questo con la sicurezza centra solo di riflesso; ma ve lo immaginate voi mentre proponete un progetto, dire al cliente
che chiede i tempi di realizzazione: mah, non so'. Chi mai puo' dire quanto ci vuole a realizzare un progetto nuovo?)
9) che la legge mi impone di effettuare i pagamenti come l'F24/IVA/... ESCLUSIVAMENTE via on-line: gli sportelli
bancari infatti non possono piu' effettuare questa operazione
10) ??? non vi basta ancora ??? :-((
btw,
per onesta' va' detto che nel conto ol-line, l'accesso ai "movimenti di denaro" e' protetto tramite successiva OTP su
carta (altre banche del gruppo accettano il token OTP RSA) oltre a conferma telefonica, ma:
a) il semplice accesso tramite la userid/password permette di vedere i miei movimenti di denaro in termini di: quando,
dove, a chi e quanto; con dati che vanno dal personale al sensible, potendo coinvolgere scelte religiose sessuali
politiche ...
b) se questa e' l'attenzione che il gruppo Unicredito mette ad una misura semplice come quella userid/password, che
livello di fiducia posso continuare ad avere al resto delle loro politiche di sicurezza ?
last ...,
per chi ama l'orrido sono disponibile ad inviare copia dei vari documenti, compreso quello di giustificazioni della
banca, che e' veramente fantastico!
Sandro Fontana, Chief Technology Officer
CISSP, L.A. BS7799, CISM, CISA
Secure Edge S.r.l. - www.secure-edge.com
via Benedetto Croce 19 - 00142 Roma - Italy
pho: +39.06.54223164 fax: +39.06.5430607
mobile: +39 335 8125031 callto://sinetqnlap
/******
Ai sensi del Decreto Legislativo 196/2003, le informazioni contenute in questa
comunicazione hanno carattere confidenziale e sono ad uso esclusivo del
destinatario. Se avete ricevuto questa copia per errore, vogliate distruggerla
o contattarci immediatamente.
*****/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
