RSA Mobile, sicurezza via SMS

RSA ha presentato in Italia un nuovo sistema di autenticazione che dice addio alle tradizionali password e usa gli SMS per l'accesso sicuro ai siti Web

Milano - La nota società di sicurezza RSA Security ha annunciato l'imminente arrivo in Italia della nuova tecnologia mobile RSA Mobile per l'accesso sicuro alle applicazioni di e-business attraverso le reti cellulari. Il meccanismo prevede l'autenticazione degli utenti mediante telefono cellulare e un codice valido una sola volta per l'accesso alle applicazioni Web B2C e B2B.

RSA sostiene che questa soluzione di autenticazione "a due fattori" è decisamente più sicura di quella basata sull'utilizzo di semplici password e consente anche di usare come strumento di autenticazione un oggetto, il telefonino, che l?utente ha sempre con sé.

"Considerando che in Europa sono oltre 200 milioni le persone che quotidianamente si scambiano SMS, RSA Mobile sfrutta un dispositivo che tutti già possiedono e usano in modo intensivo, ampliandone le potenzialità d'impiego", ha commentato Thomas Raschke, analista di IDC.
Per accrescere l?utilizzo delle applicazioni di e-commerce/e-business, è necessario che si diffondano sempre più le cosiddette "identità digitali sicure", che le organizzazioni e le aziende possono creare solo mediante l?impiego di affidabili ed evolute tecnologie di autenticazione degli utenti: che si tratti di dipendenti, partner o clienti. Questa esigenza, in realtà, è sempre esistita fin dalla nascita del commercio elettronico, ma il problema è stato per lo più affrontato con l?impiego delle password quale strumento di accesso alle applicazioni di e-commerce ed e-business. Le password, però, possono essere individuate o rilevate da hacker e cracker e pesano persino sull'operatività delle aziende (basti pensare alla necessità di ri-emetterle quando gli utenti la dimenticano).

La soluzione RSA funziona fornendo all?utente un codice di accesso utilizzabile un?unica volta, che viene generato al momento del log-in (connessione alla rete) e immediatamente inviato al cellulare (o anche al cercapersone, al palmare o alla posta elettronica dell?utente). Quest?ultimo deve semplicemente digitare i suoi User ID e PIN seguiti dal codice ricevuto per essere immediatamente autenticato al sistema. All?utente non viene chiesto di installare alcun software sul proprio cellulare.

RSA sostiene che il suo sistema, il cui software verrà rilasciato a fine settembre, potrebbe semplificare la vita anche alle aziende: gli amministratori dei sistemi informativi non devono infatti installare né manutenere nulla sui dispositivi degli utenti finali. Resta ora da vedere se questo modello di autenticazione, una volta lanciato "on air", si dimostrerà davvero a prova di cracker.
3 Commenti alla Notizia RSA Mobile, sicurezza via SMS
Ordina
  • Ma la RSA Security è a conoscenza di quel semplice programminoche fa SMS Spoofing, ovvero che può generare messaggi SMS con header falsi?
    In questa maniera la sicurezza dell'autenticazione andrebbe immediatamente a farsi benedire...
    Immagino quindi che le cosiddette "identità digitali sicure" possano diventare immediatamente delle "truffe digitali sicure" dove l'unica cosa sicura è che l'acquirente che si sostituisce a quello reale riuscirebbe ad acquistare a costo zero facendo pagare a qualche malcapitato l'oggetto comprato...
    non+autenticato
  • Guarda che gli SMS, in questo caso, verrebbero inviati dal webserver al client, e non viceversa.
    Il problema potrebbe sorgere se fosse possibile intercettare un SMS destinato a qualcun altro.
    non+autenticato
  • Gli SMSC (centri gestione messaggi SMS) mantengono gli SMS in chiaro, quindi attacchi di tipo "uomo nel mezzo" (MITM) sono possibili in casa del gestore.
    non+autenticato