On Fri, 2008-01-11 at 10:24 +0100, Damiano Bolzoni wrote: > Pedaletti Paolo wrote: > > Ciao Rissone Ruggero, > > > >> Polemiche a parte, se le banche usassero per gli accessi dei loro clienti > >> dei sistemi di autenticazione con OTP, renderebbero inutili tentativi di > >> fishing di questo tipo. > > > > come: > > http://openid.net/ > > ? > > > > OpenID sembra piu' un sistema di Single-Sign On piuttosto che uno di > One-Time Password. > Il problema del One-Time Password e' un altro...ci si deve sempre > portare dietro la "chiavetta" (o, come qui in Olanda, una specie di > calcolatrice) in ogni movimento...e magari partendo di fretta ci si > dimentica...o peggio la si perde in qualche borsa...
Si ma non e' la fine del mondo, alla banca puoi sempre telefonare per ottenere un nuovo aggeggio se proprio lo perdi, oppure in emergenza puoi anche andare ad uno sportello. Di sicuro personalmente preferisco perdere la "chiavetta" che avere una username/password che la banca non mi obbliga a cambiare mai come qui in USA :/ > La cosa si potrebbe ovviare avendo un numero di cellulare conosciuto > dalla banca su cui si possa ricevere un codice temporaneo di > accesso/dispositivo...ma penso a mio padre che ha avuto problemi con la > chiavetta del SanPaolo... Poi mi verrai a dire che e' scomodo perche' hai perso il cellulare :-P > MontePaschi ha per esempio un certificato SSL anche per il cliente, ma > ne hanno resa l'installazione (e soprattutto la re-installazione in caso > si voglia usare su un altro browser/computer) un inferno... Io sono fermamente convinto che software installato su un PC sia male. Primo e' un caso come dici tu, secondo se la mia macchina viene zombizzata sei fritto, un certificato SSL che puo' usare qualcun altro vale niente. E c'e' anche il rischio "cambio hardware" quando l'utente ignaro da via il suo computer e non sa che sta dando via anche il certificato SSL (e magari anche la cache del browser con tanto di pin). O piu' semplicemente manda il PC in riparazione ... e chi ne ha piu' ne metta. L'efficacia della chiavetta e' che e' un meccanismo di facile comprensione. E' un oggetto fisico a cui si deve accedere manualmente e che puo' essere tenuto con se tutto il tempo (e chi la mette nel cassetto della scrivania e va in vacanza un mese andrebbe colpito da mali intestinali indicibili, soprattutto se iscritto a questa lista :-) L'"unico" attacco possibile per via telematica e' appunto un MITM che sappia come operare in automatico con l'OTP generato dall'utente. MITM complicato dal fatto che se l'utente e' un pelo accorto non si fara' imbrogliare da un certificato self signed o da un sito il cui indirizzo non corrisponde a quello del proprio home-banking. Chiaramente utenti meno accorti rischiano di piu' ... ma e' sempre meglio che un semplice username/password e molto piu' semplice (e IMO quindi meglio) di un certificato SSL client su un PC generico. Simo.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
