Autenticazione in banca, (r)evolution negli USA

Le istituzioni federali statunitensi hanno comunicato agli istituti di credito che tassativamente entro il 2006 dovranno disporre di forme di autenticazione a due fattori

Boston (USA) - FBI e Federal Financial Institutions Examination Council (FFIEC), hanno richiesto ufficialmente agli istituti di credito di migliorare i sistemi di sicurezza nei servizi di home banking. La soluzione consigliata è quella di adottare forme di autenticazione a due fattori entro il 2006.

Questo tipo di autenticazione sfrutta sinergicamente più sistemi di "riconoscimento" dell'utente: quindi non solo PIN o password, ma anche, ad esempio, dispositivi hardware con codici che si aggiornano quotidianamente. Oppure periferiche che permettono analisi biometriche o smart-card per reader specifici da collegare al PC.

Secondo FFIEC, le banche potrebbero implementare soluzioni proprietarie dove, ad esempio, le password posso essere utilizzate una sola volta, o anche sistemi dove ad ogni operazione vengano richieste informazioni sensibili conosciute solo ed esclusivamente dall'utente intestatario del conto corrente. Senza contare l'implementazione di applicazioni che potrebbero essere in grado di localizzare la postazione dell'utente e confrontarla con gli indirizzi rilasciati in banca dal correntista.
Il rilancio nel campo della sicurezza bancaria sembra manifestarsi come risposta ai risultati dell'ultima indagine effettuata da RSA Security, società specializzata nel settore sicurezza. Il campione intervistato, formato da utenti statunitensi, anglosassoni, tedeschi e francesi, ha evidenziato un differente livello di fiducia nei confronti della sicurezza nelle transazioni online. Per il 16% dei correntisti d'oltreoceano negli ultimi mesi le operazioni online sono diminuite per il timore di frodi. Gli utenti europei che condividerebbero lo stesso sentimento, invece, si attestano in media sul 9%, con punte più basse in Germania e più alte in Gran Bretagna.

L'incremento del fenomeno del phishing, probabilmente, ha preoccupato i consumatori. Tanto più che solo ad agosto, secondo i dati di Anti-Phishing Working group, gli attacchi registrati hanno raggiunto quota 13.776 negli Stati Uniti. Sicuramente un catalizzatore per le iniziative legislative, come ad esempio quella adottata recentemente dalla California.

Alcune banche statunitensi hanno già reso disponibili soluzioni opzionali a "due fattori", ma si tratta di limitate eccezioni. Federal Reserve, Federal Deposit Insurance Corp. (FDIC), gli enti di controllo statunitensi, Office of Thrift Supervision and the National Credit Union Administration, tutti facenti parte della FFIEC, fondamentalmente concordano sul fatto che il settore finanziario possa fare di più sia nel campo della prevenzione che in quello della sicurezza attiva.

David Barr, portavoce di FDIC, ha dichiarato che le indicazioni ufficiali serviranno come standard di riferimento quando le banche avranno implementato le loro soluzioni. "La richiesta della FFIEC riguarda i servizi finanziari, ma è evidente che questa policy potrebbe stimolare l'utilizzo dei nuovi sistemi di sicurezza anche in altri settori, tendenzialmente sinergici a quelli bancari. In questo modo si otterrebbero soluzioni decisamente integrate", ha dichiarato Michael Aisenberg, direttore per le relazioni governative presso VeriSign.

Quello dell'autenticazione "integrata" è uno degli obiettivi di consorzi come Liberty Alliance, dove si lavora allo sviluppo di uno standard basato sull'autenticazione a "due fattori" fra piattaforme diverse.

Dario d'Elia
TAG: biometria
12 Commenti alla Notizia Autenticazione in banca, (r)evolution negli USA
Ordina
  • Io mi accontenterei di una cifratura a 256bit invece che a 128, che la mia banca sostiene essere la massima possibile.
    Invece è la massima supportata da IE (Internet Exploder)
    Perplesso


  • - Scritto da: garak
    > Io mi accontenterei di una cifratura a 256bit
    > invece che a 128, che la mia banca sostiene
    > essere la massima possibile.
    > Invece è la massima supportata da IE (Internet
    > Exploder)

    Che poi in realta' sono solo 96 visto che i rimanenti 32 sono fissi e noti.

    non+autenticato
  • però dice che le tiene solo una settimana...se entra un rapinatore le danno alla polizia, se no dopo una sett.le distruggono...mah, lo faranno davvero? speriamo...io non ho nulla da nascondere ma c...o, che cappa che ci hanno già messo in testa... (vai in africa celestino...!)
    non+autenticato
  • ...quando tempo fa dicevo che l'unico metodo sicuro contro il phising era l'adozione di sistemi hardware IN CASA del cliente mi rispondevano che era impossibile far adottare un simile sistema...

  • - Scritto da: HotEngine
    > ...quando tempo fa dicevo che l'unico metodo
    > sicuro contro il phising era l'adozione di
    > sistemi hardware IN CASA del cliente mi
    > rispondevano che era impossibile far adottare un
    > simile sistema...

    Pensa che neanche a me han voluto dare credito quando molto tempo fa' dissi che in ogni casa ci sarebbe stato un televisore! A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo

    > Pensa che neanche a me han voluto dare credito
    > quando molto tempo fa' dissi che in ogni casa ci
    > sarebbe stato un televisore! A bocca aperta

    Ed infatti hai sbagliato! Ce ne son oalmeno 2 o 3! Occhiolino
  • A parte i due centesimi di interesse che mi ha comunicato oggi con l'estratto conto, c'era anche un foglio che mi informa che da gennaio 2006 si passa a pasword usa e getta, generate ogni 60 secondi da un cosino (tipo una calcolatrice), già usato, per esempio, da wester union.
    Non faccio pubblicità, ma per capirci la mia banca è quella che tempo fa, attaccata da un pescatore (phisher) che ha creato un sito copia linkando le immagini direttamente dal sito della banca, le ha cambiate con delle belle immagini con scritto CRACKED a lettere cubitali.
    Questi Signori hanno davvero a cuore la loro reputazione, che vuol dire maggiore sicurezza per noi clienti.
    Per una volta posso dire di essere contento della mia banca.
    non+autenticato
  • - Scritto da: Anonimo
    > A parte i due centesimi di interesse che mi ha
    > comunicato oggi con l'estratto conto, c'era anche
    > un foglio che mi informa che da gennaio 2006 si
    > passa a pasword usa e getta, generate ogni 60
    > secondi da un cosino (tipo una calcolatrice), già
    > usato, per esempio, da wester union.

    La mia banca lo permetto da parecchi mesi, così come moltissime altre banche italiane
    non+autenticato
  • Scusa pensavo parlassi delle carte di credito
    non+autenticato

  • - Scritto da: Anonimo
    > A parte i due centesimi di interesse che mi ha
    > comunicato oggi con l'estratto conto, c'era anche
    > un foglio che mi informa che da gennaio 2006 si
    > passa a pasword usa e getta, generate ogni 60
    > secondi da un cosino (tipo una calcolatrice), già
    > usato, per esempio, da wester union.
    > Non faccio pubblicità, ma per capirci la mia
    > banca è quella che tempo fa, attaccata da un
    > pescatore (phisher) che ha creato un sito copia
    > linkando le immagini direttamente dal sito della
    > banca, le ha cambiate con delle belle immagini
    > con scritto CRACKED a lettere cubitali.
    > Questi Signori hanno davvero a cuore la loro
    > reputazione, che vuol dire maggiore sicurezza per
    > noi clienti.
    > Per una volta posso dire di essere contento della
    > mia banca.


    la mia banca di queil cosi li ... ( generatori di one time password con chiavi RSA ) me ne ha dati un paio gia' qualche tempo fa! non faccio nomi ma e' quella banca che voleva essere acquistata dai baschi e per fortuna e' rimasta italiana.
    Alex Sorride
    non+autenticato
  • Vi ringrazio dei vostri apprezzamenti.

    Firmato
    Colui che ha portato i One-Time-Token in Italia prima presso Bankyou/Banca24-7, poi in BNL e adesso ha convinto i colleghi di un altra grande banca a far lo stessoOcchiolino

    Ma la battaglia non finisce qui, ora c'è da organizzare il prossimo presidio!
    non+autenticato
  • Io il cosino generatore di OTPs (One time password) l'ho ricevuto dalla mia banca ormai da un'anno. Prima usava un certificato di sicurezza con crittazione in tutti e due i sensi, era già abbastanza sicuro, ma ora è anche molto più pratico, posso collegarmi ovunque.




    - Scritto da: Anonimo
    > A parte i due centesimi di interesse che mi ha
    > comunicato oggi con l'estratto conto, c'era anche
    > un foglio che mi informa che da gennaio 2006 si
    > passa a pasword usa e getta, generate ogni 60
    > secondi da un cosino (tipo una calcolatrice), già
    > usato, per esempio, da wester union.
    > Non faccio pubblicità, ma per capirci la mia
    > banca è quella che tempo fa, attaccata da un
    > pescatore (phisher) che ha creato un sito copia
    > linkando le immagini direttamente dal sito della
    > banca, le ha cambiate con delle belle immagini
    > con scritto CRACKED a lettere cubitali.
    > Questi Signori hanno davvero a cuore la loro
    > reputazione, che vuol dire maggiore sicurezza per
    > noi clienti.
    > Per una volta posso dire di essere contento della
    > mia banca.
    non+autenticato