simo ha scritto: > On Thu, 2008-01-10 at 09:47 +0100, Rissone Ruggero wrote: > > E questo e' interessante, perche' il gruppo Intesa/Sanpaolo (di cui mi > sembra di avere capito il sito in questione faccia parte) usa chiavette > con generazione di codice 6 cifre valido 16 secondi dal momento in cui > viene generato, sia per l'accesso al web banking, che una volta > acceduto, per alcune operazione importanti come l'invio di bonifici. > Ne ho una in mano. > > Simo. > > IMHO questo porterà quasi sicuramente al fishing next generation : siti che catturano i dati utente e fanno da MITM in tempo reale con il vero sito.
Una soluzione credo sia la mutua autenticazione, feature già presente in SSL, ma ancora non utilizzata in modo così diffuso. Così che il server e il client possano essere sicuri l'uno dell'altro, questo in aggiunta alla classica chiave OTP. Alessandro
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
