Salvatore Mandrà wrote: > Un caso semplice: mandiamo all'utonto medio che non comprende che la > mail è spoofata. Non sa controllare che non proviene dalla sua banca e > non si fida, perché in fondo a questa nuova connessione sicura con > lucchetto dorato e chiave OTP. Va al sito indicato, inserisce i dati. > Non si connette. Proviamo con la seconda OTP. Poi la terza. E nel giro > di qualche minuto il nostro utono sarà senza soldi. >
In realtà, da questo punto di vista il certificato lato utente è più sicuro, il MITM non è possibile. È però meno sicuro in caso di compromissione del pc: anche se in teoria quando il pc è compromesso non c'è meccanismo che regga, il certificato ti può essere copiato, mentre con un OTP in teoria dopo la prima operazione ti potresti accorgere di quello che succede (il tuo utonto perderebbe tutto comunque). La combinazione dei due chiaramente mitiga meglio, pur senza essere una soluzione e con una maggiore complessità. ciao - Claudio -- Claudio Telmon [EMAIL PROTECTED] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
