Ciao Stefano! > un collega mi segnala: > http://www.remote-exploit.org/?page_id=736 > http://vimeo.com/15140660
Grazie per il link, e' molto interessante. Seppure il problema esiste, questo e' IMHO piu' relativo all'applicazione che alla sicurezza della PKI SuisseID. Cioe', ci sono dei problemi ben noti sul PDF e su altri possibili "misuse", come entrare nel computer della vittima e mettere un accesso all'USB remoto + keylogger. Certo, e' un problema, pero' se sei ragionevolmente sicuro della piattaforma su cui gira (hardening), usi la SuisseID solo quando la devi usare (invece di tenerla "appiccicata" al PC) e' sicuramente meglio che una password. Sto facendo qualche test lato autenticazione e tieni presente che questi stessi ragionamenti potrebbero valere anche per un eventuale OTP sistemato su uno smartphone: se ti entro android o iPhone e prendo il tuo seed e il tuo state file (solo per HOTP, su TOTP basta il time utc) allora riesco ad entrare nel tuo conto bancario. IMHO anche i "security devices" piu' avanzati vanno usati con "cum grano salis", un po' come quando vai al bancomat e verifichi che non ci siano skimmers e metti la mano sul pinpad. Ciao ciao, Gippa
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
