> -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Rissone Ruggero > Sent: giovedì 10 gennaio 2008 16.41 > To: [email protected] > Subject: R: R: [ml] incredibile buco di fideuramonline.it > > Personalmente quando dovevo effettuare la scelta di quale banca su cui > appoggiarmi per effettuare operazioni in Home Banking (e trading), > l'utilizzo dei token era una cosa mandatoria. La cosa sconcertante era > che alla mia precisa domanda, in molti casi chi avevo davanti mi > guardava come se avessi richiesto un biglietto ferroviario destinazione > Marte. > In alcuni casi il codice OTP viene utilizzato solo per confermare > operazioni quali bonifici e/o trading di azioni. L'accesso in > consultazione sul saldo del conto e' invece una password statica (in > alcuni casi solo numerica), e quindi espone l'ignaro (anzi, non piu' > ignaro nel caso dei clienti Fideuram) ad un leakage di informazioni > sensibili. > Fossi un cliente Fideuram citerei la banca in tal senso, ma vista la > diffusione del fenomeno phishing, cadrebbe in un nulla di fatto.
La banca di riferimento in Europa del gruppo per cui lavoro è la Bank Mendes Gans e si accede al loro sistema tratime questo link: http://www.megabank.nl/, usa OTP con PIN (Logon with security token). La cosa piuttosto scomoda è che il sistema di autenticazione richiede un pezzo di software installato sul PC e che questo software necessita dei privilegi amministrativi per essere installato. https://www.megabank.nl/support/index_download_digisign.html "Depending on your company policy distribution and installation of the DigiSign software can also be performed by your own IT department. In this case please contact your network administrator for more information". Esistono dei sistemi per integrare l'autenticazione con OTP in modo più "smart", ovvero che non richiedano softaware da installare lato client? E già che siamo nell'argomento OTP, qualcuno ha mai provato AuthAnvil? http://www.scorpionsoft.com/products/authanvil/index.html http://www.authanvil.com/ Ciao e grazie, Gabriele ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
