Yunus80
Del PIG non si butta nulla
Interessante, grazie, non lo conoscevo!Leggo che:
"Una volta attivato il servizio, l'SMS P.I.N. ti verrà richiesto per confermare tutti i bonifici in uscita e i nuovi beneficiari delle ricariche telefoniche in aggiunta al P.I.N. dispositivo."
Il fatto che si limiti alle disposizioni di bonifico e ricarica è sufficiente?
Diciamo che se qualcuno entra nel tuo conto di solito non lo fa per giocare al piccolo trader
Oltretutto i ritardi imposti (dal token come dall'sms pin) sarebbero difficilmente tollerabili per un trader che viaggia sulle frazioni di secondo, non trovi?
Perchè secondo te il token di IwBank non è sufficiente? Perché si potrebbe essere indotti da un'email di phishing a inserirlo e questo permetterebbe a malintenzionati di ricavare anche le future password del token?
Premessa: quanto sto per esporre non significa che IWBank sia - in assoluto - insicura. In realtà quella che sto per esporre è una possibilità remota, difficilmente attuabile ma che può valer la pena di considerare qualora si stia valutando un sistema del genere.
Il punto però è che, per come la vedo io, il token è tutto sommato una seccatura. Per cui, visto che ci sono sistemi migliori (per la sicurezza) e meno invasivi (per il cliente), vale IMHO la pena di spingere in quella direzione.
Per cui...
Richiesta: che We Bank si doti di un sistema analogo a quello di Fineco, lasciando perdere (qualora ci fossero) token e ammenicoli vari.
Motivazione:
a) il token time based costa, per cui difficilmente una banca online può metterlo a disposizione gratuitamente (le banche fisiche ti pelano con i costi sul c/c e così se lo ripagano)
b) il token event based costa molto meno, ma lascia comunque delle potenziali falle di sicurezza aperte, per cui non è comunque raccomandabile.
Andando in dettaglio, il token event based ad ogni pressione di un apposito tasto visualizza un codice che viene richiesto dalla banca all'accesso o come password dispositiva. Il punto è che questi codici non scadono dopo 60 secondi (come succede nei token time based), scadono solo quando vengono usati OPPURE quando viene usato un codice generato successivamente.
Ci sono due attacchi possibili:
- Phishing: inserisci user name, password e uno/due codici (a seconda di com'è fatto il sito della banca) in un falso sito creato ad hoc. A questo punto il criminale dall'altra parte accede al tuo conto e bonifica tutto quel che c'è sul suo.
Questo si potrebbe evitare, combinando due cose:
* Cautela da parte dell'utente (merce purtroppo rara)
* Una pagina di login all'home banking diversa da quello di IWBank che ti chiede il codice del token per il login, facilitando la vita ai phisher (fosse fatto diversamente, una falsa pagina IW che ti chiedesse il codice sarebbe più facilmente riconoscibile)
- Rimane la seconda possibilità, quella tecnicamente difficile ma tuttavia possibile: il cosiddetto man-in-the-middle
Ovvero un tizio che può intercettare il tuo traffico di rete, deviarlo e porsi "tra te e la banca".
In questo modo tu vai sul sito della banca ma passando per il sistema del criminale in questione, che può intercettare i codici che tu mandi e presentarti delle false schermate (o inoltrarti quelle vere) a suo piacimento. Per cui nel momento in cui tu inserisci un codice dal tuo token (perché vuoi fare un bonifico, o perché l'hai inserito nel login, o per altri motivi) il tizio se lo vede passare sotto il naso, il che ci rimanda alla conclusione di cui sopra
Con l'SMS pin questo non è possibile perché anche se le tue password venissero intercettate ti vedresti arrivare un SMS che recita più o meno
"Bonifico di 100.000€ intestato a Criminals & co. Per autorizzare digitare 123456"
quando tu volevi bonificare 500€ al padrone di casa.
Al che, se ci caschi a questo punto te lo meriti...
Detta di corsa, in modo non esaustivo, ma più o meno le cose stanno così...
Rimane il fatto che questa soluzione deve ovviamente essere facoltativa, perché se in casa tua il cellulare fatica a prendere campo...
