>> - usare piu' canali, tipo messaggino GSM o telefonate pre-registrate > > Spero che tu stia suggerendo di usarli come meccanismi aggiuntivi. In > particolare, gli IVR con autenticazione basata sul numero del chiamante > sono agghiaccianti ;-)
Quello che fanno diverse banche in svizzera è mandare l'OTP via SMS dopo il login ui/pass. Mi sembra una soluzione ragionevole e ha il vantaggio che il token fisico è più controllato dall'utente. UBS usa un sistema oltraggiosamente pesante in cui dopo il login l'utente riceve un challenge numerico da inserire in una calcolatrice che calcola la response da inserire sul sito per completare il login. La calcolatrice è "seed"ata da una card (non il bancomat) che è l'effettivo token dell'utente. michele________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
