Ciao Max, > Intanto l'online-banking non lo fanno le "banche", quanto piuttosto le > aziende di informatica bancaria (IB),
Beh, no, dipende dalle banche. Nelle banche maggiori, no. > 2) l'uso di mascherine con bitmap da cliccare e' un trucchetto che coi logger moderni non serve a nulla, quindi potremmo anche lasciarlo perdere... > 3) l'uso di token OTP alza notevolmente la sicurezza, E non ha torto l'autore del messaggio originale a stupirsi dell'assenza di tale meccanismo in quello specifico portale - che penso di aver riconosciuto, e da' un bad feeling anche a me. > informatiche serie e c'e' una possibilita' > che gruppi di cracker organizzati possano risalire agevolmente > al vostro seed semplicemente Stai descrivendo un attacco vero e possibile, ma sproporzionato rispetto all'aggressione a un banale conto corrente. Non pensi? > - usare piu' canali, tipo messaggino GSM o telefonate pre-registrate Spero che tu stia suggerendo di usarli come meccanismi aggiuntivi. In particolare, gli IVR con autenticazione basata sul numero del chiamante sono agghiaccianti ;-) -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
