Banche, soluzione finale contro il phishing?

Bank of America è convinta di averla trovata: è un nuovo sistemino che consente di proteggere le password e di verificare se il sito su cui ci si trova è quello della banca

New York - In uno dei momenti più caldi per il trattamento dei dati personali su internet, in un periodo nel quale alcune delle maggiori istituzioni del credito americano rivelano di aver letteralmente perso il controllo sui dati di decine di milioni di individui, Bank of America, la più grande di queste ed una delle imprese che ha dovuto dolorosamente ammettere un episodio del genere, ha annunciato quella che ritiene essere la soluzione definitiva al phishing, ossia alle truffe via internet, almeno quelle che riguardano i siti delle banche.

La Bank ha in sostanza adottato un sistema conosciuto da molto tempo e noto come SiteKey a cui ha aggiunto alcune specifiche implementazioni, una mossa dovuta a casi di cronaca che parlano di accessi non autorizzati ai conti online dei clienti.

Il sistemino si basa su tre nodi fondamentali. Il primo è la classica password di accesso al conto online, il secondo è una sequenza di tre domande e risposte scelte dal cliente al quale questo deve saper rispondere in ogni momento per poter disporre del conto, il terzo consente invece all'utente di verificare in qualsiasi momento se il sito su cui sta operando sia effettivamente quello di Bank of America.
Quest'ultima disposizione è probabilmente quella più importante per contrastare le più diffuse frodi contro l'e-banking. Cliccando sul tasto "SiteKey" che si trova nella home page della Banca, infatti, al cliente vengono sottoposte una frase e un'immagine segreti che ha scelto quando ha aperto il proprio conto, dati che sono conservati in modo protetto sui server dell'istituto. L'idea, dunque, è che un sito malevolo non avrebbe modo di riprodurre quei dati né di richiamarli dal database ove vengono conservati.

Al momento SiteKey avrà un'implementazione limitata ad alcuni degli stati americani ma entro l'autunno il grande istituto di credito statunitense ritiene di poter espandere il nuovo "giochino" all'intero paese.

Alle stesse esigenze espresse dalla Bank of America stanno peraltro allineandosi anche altri istituti di credito americani che hanno adottato una strategia forse più semplice, quella di una doppia password di accesso. Un sistema a diversi livelli di accesso, dunque, che dovrebbe rendere la vita più difficile a chi cerca di penetrare abusivamente nei conti altrui. Sono poi naturalmente in corso numerose diverse sperimentazioni, alcune delle quali basate anche sulle nuove tecnologie biometriche.
93 Commenti alla Notizia Banche, soluzione finale contro il phishing?
Ordina
  • se uno deve fare e-bakning credo che sia sifficientemente sveglio da memorizzare il sito originale della banca nei bookmark

    e li basta un click e si e' dentro il vero sito della banca in questione...

    sitekey e altre amenita' mi sembrano una cosa assurda...

    (poi magari legnatemi se ho sparato una castronata)

  • - Scritto da: awerellwv
    > se uno deve fare e-bakning credo che sia
    > sifficientemente sveglio da memorizzare il sito
    > originale della banca nei bookmark
    >
    > e li basta un click e si e' dentro il vero sito
    > della banca in questione...
    >
    > sitekey e altre amenita' mi sembrano una cosa
    > assurda...
    >
    > (poi magari legnatemi se ho sparato una
    > castronata)

    il link lo segnalano già nella email, poi ti scrivono che hanno aperto il nuovo sito www.bankas.com che e' piu' bello, piu' sicuro, piu tutto quello che vuoi.

    Qualcuno abbocca.

    La diffidenza di default non tutti l'hanno attiva di default, magari con il prossimo service pack.


    ciao
  • E' una soluzione che viene già usata in ambienti considerati "più sicuri" (ad esempio le banche la adottano già controllare gli accessi ai loro sistemi da parte dei tecnici autorizzati):

    la password di ogni utente cambia ogni minuto seguendo un algoritmo differente per ogni utente.
    Ad ogni utente viene data una specie di "calcolatrice" che implementa quell'algoritmo e che quindi è in grado di dire al possessore qual'è la sua password, minuto per minuto.
    La "calcolatrice" è garantita essere sincronizzata con il server per almeno 4 anni, dopo i quali va sostituita (anche perchè si scarica la batteria).

    In questo modo, qualunque password vi abbiano estorto dura solo un minuto... e basta che la banca vi chieda di inserire due volte la password (prima per loggarsi e dopo un minuto per confermare il bonifico) per rendere totalmente inutile ogni tentativo di phishing

    non+autenticato

  • - Scritto da: Anonimo
    > E' una soluzione che viene già usata in ambienti
    > considerati "più sicuri" (ad esempio le banche la
    > adottano già controllare gli accessi ai loro
    > sistemi da parte dei tecnici autorizzati):
    >
    > la password di ogni utente cambia ogni minuto
    > seguendo un algoritmo differente per ogni utente.
    > Ad ogni utente viene data una specie di
    > "calcolatrice" che implementa quell'algoritmo e
    > che quindi è in grado di dire al possessore
    > qual'è la sua password, minuto per minuto.
    > La "calcolatrice" è garantita essere
    > sincronizzata con il server per almeno 4 anni,
    > dopo i quali va sostituita (anche perchè si
    > scarica la batteria).
    >
    > In questo modo, qualunque password vi abbiano
    > estorto dura solo un minuto... e basta che la
    > banca vi chieda di inserire due volte la password
    > (prima per loggarsi e dopo un minuto per
    > confermare il bonifico) per rendere totalmente
    > inutile ogni tentativo di phishing
    >

    Guarda che se scrivi RSA SecureID non ti strilla nessuno.

    SithDrew
    non+autenticato
  • Non è lo stesso di quello che fa BNL con il "PASS" che genera le pwds ?

  • - Scritto da: Sparrow
    > Non è lo stesso di quello che fa BNL con il
    > "PASS" che genera le pwds ?

    Esatto; il sistema sfrutta una eToken con funzionalità integrata OTP (On Time Password). Nel caso di BNL la password varia ogni 30 secondi.
    non+autenticato


  • magaria chiave segreta, conosciuta solo dalla banca e inserita all'interno della calcolatrice ma non a conoscenza dell'utente.

    a primo impatto dire che e' ottomo contro questi casi.

    ciao

  • - Scritto da: Anonimo
    > la password di ogni utente cambia ogni minuto
    > seguendo un algoritmo differente per ogni utente.
    > Ad ogni utente viene data una specie di
    > "calcolatrice" che implementa quell'algoritmo e
    > che quindi è in grado di dire al possessore
    > qual'è la sua password, minuto per minuto.

    Che importanza ha la complessita' della password o la sua durata se il controllo della password e' bypassabile ? Ovvero se in qualche modo posso accedere alla risorsa che dovrebbe essere protetta da password senza conoscere la password ?

    E' il caso piu' frequente, che accade quotidianamente.

    Perche' un sistema come quello di cui parli sia efficacie, la possibilita' di accesso senza password deve essere nulla.

    Quando accade ?

    E quanto e' sicuro che la password (complessa e mutante) non sia recuperabile ?

    La sicurezza e' una sequenza dinamica di botte e risposte. Chi e' piu' veloce e preciso vince.
    La sicurezza statica, della serie: metto in piedi questo sistema e sono tranquillo, e' un'illusione.
    non+autenticato
  • E' una vita che accedo al mio conto UBS con un token che genera la password in questo modo...purtroppo non e' aplicabile per siti come eBay o servizi di email dove la facilita' di accesso deve essere garantita non trattandosi di una banca o servizio finanziario...cmq sitekey e' facilmente aggirabile, mi tengo distante dal dire come per ovvi motivi inoltre sto facendo alcuni test per capirne l'affidabilita'.

    Nel frattempo FINECO continua a mandare messaggi con inviti a loggarsi su un link HTML, avremo presto notizie di spoofing con oggetto FINECO

    cristian p
  • ...comunque a rischio.
    Un portachiavi con un generatore di codici basato su data, ora, e numero di conto.
    Un plugin scaricato al momento dell'entrata nella sezione "conto online" effettua la connessione al conto e cifra il tutto con i dati di username, password e codice del proprietario.
    Solo se i dati "fanno scopa" con quelli del server (il codice temporaneo cambia sempre) vengono decrittati correttamente, un numero di codice "generato a caso" non avra' alcuna possibilita' di funzionare.

    Funziona sempre (a patto di usare un browser recente) e non installa nulla.

    >GT<
  • Nome utente e password, ma per operazioni che comportano la movimentazione di denaro (bonifici etc.) vengono date le coordinate di un'apposita card (tipo A5): l'utente prende la sua crad (spedita per posta), legge il codice all'incrocio delle coordinate e le inserisce.
    La card è spedita all'utente per posta.
    non+autenticato
  • Non e' l'unica che fa cosi'.

    E' una cosa analoga ad avere 100 password per le operazioni invece di una.

    Ma 1, 10 o 1000, sempre una password da inserire e'.

    non+autenticato

  • Anche senza smartcard, sarebbe sufficiente dare un CD all'utente della banca con una chiave psk autoinstallante nel browser.

    Funziona con tutti i browser e si autentica il client !

    Il certificato, contiene le informazioni del cliente criptato con chiave privata e quindi rende impossibile ad eventuali avventori di spacciarsi per lui.

    Per altro il certificato non può essere intercettato e rimandato (man in the middle) in quanto il tutto è protetto con la logica del SSL ...

    Ho già messo in piedi sistemi di sicurezza del genere in mezza giornata e dare un CD ai clienti non mi sembra una grande difficoltà ...

    Detto questo, informare il cliente con una EMAIL o nella pagina principale non è una cattiva idea , molte banche già lo fanno ed è la cosa più ovvia !
    non+autenticato
  • > Ho già messo in piedi sistemi di sicurezza del
    > genere in mezza giornata e dare un CD ai clienti
    > non mi sembra una grande difficoltà ...
    >
    > Detto questo, informare il cliente con una EMAIL
    > o nella pagina principale non è una cattiva idea
    > , molte banche già lo fanno ed è la cosa più
    > ovvia !

    Bella idea, ma poi l'assistenza?

    Eh, non mi si installa....

    Eh mi ha bloccato il computer....

    Eh non funziona ma io ho fatto tutto bene....

    Sai che calvario, magari ne vale la pena solo per i conti + danarosiA bocca aperta
    non+autenticato

  • >
    > Bella idea, ma poi l'assistenza?
    >
    > Eh, non mi si installa....
    >
    > Eh mi ha bloccato il computer....
    >
    > Eh non funziona ma io ho fatto tutto bene....
    >
    > Sai che calvario, magari ne vale la pena solo per
    > i conti + danarosiA bocca aperta


    Si vabbè .... però installare un certificato nel browser richiede proprio un minimo di esperienza, con explorer, basta un programmino che gira su tutte le versioni di windows, su MAC si va in un secondo, su Linux basta uno script.

    Secondo me è più complicato scrivere 22 password che cambiano ogni secondo e mezzo ....

    Del resto il meccanismo della smartcard è lo stesso di quello del certificato, solo che nel caso specifico si trova nella tesserina e devi pagare per comprare l'hardware (se non è già incluso nel PC).


    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 17 discussioni)