Ciao a tutti.
Finora avevo evitato di intervenire sull'argomento, vista la mia
attivita' sull'argomento, ma credo
valga la pena fare qualche considerazione, anche storica.
Intanto l'online-banking non lo fanno le "banche", quanto piuttosto le
aziende di informatica bancaria (IB),
che vendono il servizio ai loro clienti, ovvero le "banche". Queste
aziende hanno accumulato negli anni esperienze e professionalita'
enormi di gestione sicura delle transazioni finanziarie, all'interno
di standard molto rigidi.
L'avvento dell'online-banking le ha un po' spiazzate, perche' avere
qualcuno che dall'esterno "entra" e fa operazioni
andava contro tutta una cultura (giustamente) paranoica, della
"sicurezza prima di tutto".
Qundi le IB sono andate un po' in ordine sparso, senza standard e
dispositivi di sicurezza concordati.
Questo spiega perche' qualche azienda di IB offra ai suoi clienti,
sulla stessa piattaforma, servizi di online banking
di livello molto diverso. Ovvero, sulla stessa piattaforma ci puo'
essere autenticazione solo con login e pw, o con token,
o con canale multiplo (esempio tipico: uso misto di GSM e Internet).
Sta alla banca scegliere e pagare di conseguenza, essendo ovviamente i
costi molto diversi.
Dopo questa nota semi-storica, passiamo alla situazione attuale
(che tra l'altro approfondiro'' in evento in streaming gratuito il 27
corrente mese).
1) L'autenticazione con username/pw e' ancora usata, essendo la soluzione
piu' economica, ed e' quella che offre la sicurezza piu' basilare.
Su un computer non infetto e usato a casa propria, offre margini ragionevoli
(certo, soggiace alla sicurezza di TLS/SSL, che purtroppo e' quella che e',
ma questo e' inevitabile essendo online, e comunque e' un vaso di
Pandora che lascerei chiuso).
2) l'uso di mascherine con bitmap da cliccare e' un trucchetto che
costa alla banca leggermente di piu'
(o lo stesso) e aiuta contro la maggioranza dei logger, ma non
certo contro chi ti guarda alle spalle.
3) l'uso di token OTP alza notevolmente la sicurezza, anche se
introduce il problema psicologico di doversi
portare dietro un oggetto e di dover star attenti a dove lo si lascia;
in realta' ci sono due famiglie di algoritmi crittografici nei
token che si trovano normalmente:
- una si basa su cifrari non proprio ultimo modello (esempio:usano SHA-1)
- una si basa su buoni cifrari, ma hanno avuto incursioni
informatiche serie e c'e' una possibilita'
che gruppi di cracker organizzati possano risalire agevolmente
al vostro seed semplicemente
leggendo il numero di serie scritto dietro il token (non girate
ma il token vicino alla webcam del vostro pc)
4) poi ci sono due altre soluzioni, che alzano ancora la sicurezza ma
che gettano ombre sull'usabilita' del tutto:
- usare la crittografia del proprio bancomat (quindi un oggetto
che sei abituato a avere e a custodire bene)
con un ingombrante lettore apposito
- usare piu' canali, tipo messaggino GSM o telefonate pre-registrate
Ciao
Max
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
