Fol News

Tutti gli approfondimenti
Tutte le notizie

Sistemi di autenticazione e mobile banking, i veri rischi che le banche nascondono

Sì, è una pen USB che supporta solo il protocollo FIDO U2F e il costo è, più o meno, di quell'ordine di grandezza.

Pen USB, magari con NFC e, soprattutto, che supportano più protocolli di autenticazione, il che le rende utilizzabili con un maggior numero di servizi compatibili con quei protocolli, costano un po' di più (40-50 euro).
 
Un interessante articolo da hCAPTCHA, sostiene che tutti gli strumenti hardware e in generale "passivi" sono intrinsecamente insicuri.
Saluti

Why CAPTCHAs Will Be With Us Always
Why CAPTCHAs Will Be With Us Always
hCaptcha - May 13, 2021
::::
What about hardware attestation?
Various methods of linking identity to a device in a cryptographically secure fashion, sometimes with privacy-preserving properties, have been proposed for decades.
Public key cryptography dates back to c. 1975, and hardware tokens have existed nearly as long.
Unfortunately, controlling a piece of hardware does not mean you are a person.
Virtually every popular consumer hardware attestation scheme has been repeatedly broken, patched, and then broken again.
Malicious abuse of these flaws is often discovered to have been occurring for months or years prior to disclosure or academic publication.
No matter how reliable your cryptographic scheme, if someone can at the end of the day simply spend money to give you the answer you are looking for, owning a piece of hardware is insufficient.
That said, cryptography is quite a young discipline.
Based on recent history, your cryptographic scheme and/or implementation is likely to be broken as soon as anyone has an incentive to look at it closely, and it is likely other people will figure this out long before you do.
Relying on hardware also means you may need to ask every single one of your users to change a physical device in order to patch the flaw.
This is unlikely to happen quickly in most cases, meaning in reality your system will simply fail open.
This is why defense is depth is important: hCaptcha uses multiple different approaches to answer the same fundamental question, allowing comparison for consistency across all evaluations.

What about passive or no-challenge solutions?
Services that attempt to do bot detection with purely passive signals rapidly run into a fundamental issue: how do you validate whether a system detects bad actors correctly when you don't have accurate ground truth?
The open internet is a very noisy environment.
Bad actors attack users of our service and competitors like reCAPTCHA every day, and are of course attempting to look as human as possible while doing so.
Purely passive services struggle to maintain bot detection accuracy, or even to know when they are inaccurate.
Without the ability to occasionally challenge users and correctly analyze the results of that challenge, accuracy tends to decline greatly over time.
 
L'agicom qualcosa ha fatto per mitigare gli effetti di sim swap , tuttavia usare uno strumento come l'sms è ad oggi troppo debole , era mille volte meglio il token fisico , spero che in un futuro non troppo distante le banche si adeguino allo standard FIDO , indibendo gli otp via sms

Sarebbe in oltre cosa gradita se l'app del token mobile fosse disgiunta dall' app per l'operativita bancaria permettendo alle persone di installare solo la prima , il fatto che coesistano sullo stesso terminale è un vulnus

Le banche usano l'otp sms con la scusa di permettere l'operativita in assenza di connessione internet , ma in quale caso uno dispone una transazione (online) e non ha internet per poterla successivamente autorizzare ?

Speriamo che il PSD3 sia piu stringente e disinneschi questi escamotage il cui unico scopo è rendere tutto piu facile (quindi con meno clienti interagiscono con il supporto clienti) a discapito della sicurezza intrinseca che questi strumenti dovrebbero avere

La delibera dell'agcom (che consiglio di leggere) dovrebbe entrare in vigore entro il termine utlimo di agosto 2022 , se siete a conoscenza di quali operatori l'hanno già applicata sarebbe utile scriverlo qua


Delibera 86-21-CIR - Documento - AGCOM

https://www.agcom.it/documents/1017...35b70-5ea4-4f8d-9fef-06b0f4c1fe25?version=1.0

SIM swap: le nuove misure per la sicurezza degli utenti di AGCOM
 
Ultima modifica:
busso ha scritto:
L'agicom qualcosa ha fatto per mitigare gli effetti di sim swap , tuttavia usare uno strumento come l'sms è ad oggi troppo debole , era mille volte meglio il token fisico , spero che in un futuro non troppo distante le banche si adeguino allo standard FIDO , indibendo gli otp via sms

[...]
Clicca per espandere...

Un adeguamento a protocolli open come FIDO e U2F lo vedo difficile (o comunque a lunga scadenza) da parte delle banche.

Come indicavo al post #300, questo tipo di autenticazione è supportata sia dal governo US che UK per l'accesso a siti governativi, mentre qui si è implementato SPID con modalità di autenticazione via app e via SMS.

Il motivo è, credo, culturale, se si chiede a qualcuno di questi metodi di autenticazione si viene guardati come alieni (mentre SMS e app sono sdoganate), difficile si possa introdurre dall'oggi al domani metodi di autenticazione che in Italia sono sostanzialmente sconosciuti.
 
FogOnLine ha scritto:
Un adeguamento a protocolli open come FIDO e U2F lo vedo difficile (o comunque a lunga scadenza) da parte delle banche.

Come indicavo al post #300, questo tipo di autenticazione è supportata sia dal governo US che UK per l'accesso a siti governativi, mentre qui si è implementato SPID con modalità di autenticazione via app e via SMS.

Il motivo è, credo, culturale, se si chiede a qualcuno di questi metodi di autenticazione si viene guardati come alieni (mentre SMS e app sono sdoganate), difficile si possa introdurre dall'oggi al domani metodi di autenticazione che in Italia sono sostanzialmente sconosciuti.
Clicca per espandere...

Hai tristemente ragione , mentre il mondo sta abbracciando la FIDO alliance con i maggiori player (ms , apple , goole) , noi qui parliamo di riunioni di condominio tramite spid

Spid supera quota 30 milioni. Il suo ideatore: "Siamo i primi al mondo. E lo abbiamo fatto senza soldi" - la Repubblica
 
FogOnLine ha scritto:
Un adeguamento a protocolli open come FIDO e U2F lo vedo difficile (o comunque a lunga scadenza) da parte delle banche.

Come indicavo al post #300, questo tipo di autenticazione è supportata sia dal governo US che UK per l'accesso a siti governativi, mentre qui si è implementato SPID con modalità di autenticazione via app e via SMS.

Il motivo è, credo, culturale, se si chiede a qualcuno di questi metodi di autenticazione si viene guardati come alieni (mentre SMS e app sono sdoganate), difficile si possa introdurre dall'oggi al domani metodi di autenticazione che in Italia sono sostanzialmente sconosciuti.
Clicca per espandere...

Bisognerebbe incominciare dalle imprese che dovrebbero essere più sensibili.
Alla fine tutti noi abbiamo lo spid che è diventato indispensabile per connettersi con la pa, basta un po' di pubblicità martellante e l'obbligo ad utilizzarlo da una certa data
 
busso ha scritto:
L'agicom qualcosa ha fatto per mitigare gli effetti di sim swap , tuttavia usare uno strumento come l'sms è ad oggi troppo debole , era mille volte meglio il token fisico , ....
Clicca per espandere...

penso anch'io che il token fisico sia più sicuro
 
neuromante ha scritto:
Bisognerebbe incominciare dalle imprese che dovrebbero essere più sensibili.
Alla fine tutti noi abbiamo lo spid che è diventato indispensabile per connettersi con la pa, basta un po' di pubblicità martellante e l'obbligo ad utilizzarlo da una certa data
Clicca per espandere...

I protocolli FIDO e U2F richiedono un token fisico (che può essere prodotto da chiunque perché si tratta di protocolli open-source) e hanno lo scopo di eliminare la dipendenza dagli SMS OTP e dall'autenticazione via app sul proprio smartphone.

Lo SPID, usando o SMS OTP o autenticazione da app non ha alcuna delle caratteristiche di sicurezza garantite da quei protocolli e da una pen fisica.

Se, come accade in UK e US non iniziano i siti governativi, figurati se seguono le aziende private (notoriamente abbastanza arretrate).
 
FogOnLine ha scritto:
I protocolli FIDO e U2F richiedono un token fisico (che può essere prodotto da chiunque perché si tratta di protocolli open-source) e hanno lo scopo di eliminare la dipendenza dagli SMS OTP e dall'autenticazione via app sul proprio smartphone.

Lo SPID, usando o SMS OTP o autenticazione da app non ha alcuna delle caratteristiche di sicurezza garantite da quei protocolli e da una pen fisica.

Se, come accade in UK e US non iniziano i siti governativi, figurati se seguono le aziende private (notoriamente abbastanza arretrate).
Clicca per espandere...

la cosa peggiore è che anche quando implementano protocolli e motodi piu sicuri lasciano sempre l'sms come fallback , con il risultato di rendere il tutto intrinsicamente insicuro visto che il livello totale di sicurezza corrisponde a quello del suo anello piu debole

ad esempio sella ha implementato l'autenticatore via app , ma in caso di "mancanza" di rete si puo usare l'sms.. ..mi chiedo quale sia la casistica in cui una persona deve fare un operaione bancaria online ma non abbia la rete per poter autenticarsi.. ..nelle banche servirebbero meno yesman e gente che ponga i problemi in modo pragmatico , invece spesso è solo una piccola rincorsa a risultare compliant alla richiesta di turno costruendo accrocchi mostruosi per compiacere il richiedente di turno
 
come paypal, una schifezza.
 
Ricapitolando, tutte le banche per autorizzare pagamenti, bonifici etc. a seguito delle recenti normative europee debbono provvedere ad un secondo fattore di autenticazione, esatto?
Ora al di la dei vari mezzi scelti dagli istituti bancari che siano discutibili o meno, mi ritrovo a riflettere principalmente sui metodi di autenticazioni adoperati da Poste.
Nel mio caso ho più di un conto, ma principalmente adopero quasi esclusivamente Fineco come conto principale e per le autorizzazioni dispositive si doveva già da tempo inserire un ulteriore pin dispositivo, in seguito tramutatosi su smartphone in Smart code.
Ora nel caso di Poste invece, per autorizzare le operazioni dispositive, per cui non solo ingresso al conto ma anche autorizzazioni di bonifici, F24 etc. tramite app da smartphone, si inserisce sempre e solo una passw univoca sia per accedere che per eseguire pagamenti per cui non vi è nessuna ulteriore contro verifica. Della cosa me ne sono reso conto per caso, in quanto, quando opero per conto dei miei genitori, per fare bonifici e ulteriori pagamenti vari, il più delle volte mi avvalgo sempre del pc, ma un giorno, nel mentre dovevo apprestarmi a pagare un bollettino condominiale, scelsi di adoperare lo smartphone così da evitare di dover riscrivere il tutto da tastiera mentre da app bastava inquadrare il tutto da fotocamera rendendo la cosa più versatile, ma è proprio a tal punto che mi sono accorto che da questi non veniva richiesto nessun ulteriore codice per l'autorizzazione, limitandosi sempre alla richiesta di una unica passw, la stessa che utilizzavo per entrare nell'app. Tra l'altro, supponendo che la cosa fosse limitata solo ai pagamenti di servizi specifici come i bollettini postali, nei mesi successivi ho eseguito anche più di un bonifico, ma pur sempre con le stesse modalità.
In sostanza, non mi sembra che tale metodo sia totalmente in regola con la direttiva Psd2, o viceversa non ho capito un piffero io, ed in pratica è tutto normale?
 
Ultima modifica:
ecco ora so in ragione di cosa stiamo sacrificando la sicurezza.. ..buono a sapersi , per le stesse ragioni di cui sotto proporrei anche di abolire qualunque forma di antifortunistica , sicurezza nel mondo reale

«Gli SMS sono oggi sempre più apprezzati per comunicazioni di tipo transazionale perché sono particolarmente efficaci, economici, sono considerati più professionali rispetto alla messaggistica istantanea» dichiara Domitilla Cortelletti, Marketing Manager di Skebby. La dirigente aggiunge «Non ultimo, sono in grado di raggiungere tutti i tipi di telefoni, non solo gli smartphone, quindi, praticamente la totalità della popolazione, inclusi i più anziani».

Gli SMS resistono per conferme appuntamenti e non solo - macitynet.it
 
Salve,
esiste un elenco di banche che offrano l'autenticazione senza app per l'home banking?

Tipo via token o telefonata o sms?
 
emery ha scritto:
esiste un elenco di banche che offrano l'autenticazione senza app per l'home banking?

Tipo via token o telefonata o sms?
Clicca per espandere...
Non so se esiste un elenco già fatto, io posso dirti che Banca Sella ha il servizio "Sms conferma" per chi non può o non vuole installare l'app, al modico costo di 0,10 € per ogni SMS inviato.

Anche IntesaSanPaolo offre il codice otp via sms con un canone di 10€ all'anno più il costo del singolo sms.

Sembra che il token fisico sia offerto da varie BCC.

Per altre banche non saprei, bisognerebbe cercare sui siti di ogni singola banca :rolleyes:
 
Qualche giorno fa ho letto un articolo BBC che parlava di un nuovo metodo che stanno usando nel Regno Unito per svuotare conti ed esaurire plafond di carte di pagamento, dopo aver rubato smartphone e carte di pagamento di un utente:
Non so se anche le banche italiane siano vulnerabili a questo tipo di attacco, ma funziona in questo modo: https://www.bbc.com/news/uk-england-london-62809151

- rubano smartphone e carte di pagamento, spesso nelle palestre quando vengono messi assieme nelle cassette di sicurezza
- aggiungono la carta su ApplePay o GooglePay su uno smartphone a loro disposizione
- la carta viene aggiunta con successo sul nuovo smartphone grazie ad una notifica OTP che viene inviata sullo smartphone (rubato) del titolare della carta stessa
- inziano a spendere e spandere fino ad esaurire il limite della carta
- in alcuni casi riescono anche ad accedere al conto resettando le credenziali di accesso usando i dati a loro disposizione e quindi effettuando bonifici su altri conti

Ripeto, non usando sistemi di pagamento su dispositivi mobili come ApplePay o GooglePay, non so se la cosa sia così facile anche con le nostre banche, tuttavia mi sento di consigliare di non consentire l'invio di notifiche in chiaro su schermata di blocco dei cellulari da parte di tutte le app che inviano codici OTP bancari o di accesso a mail e conti.
Così facendo si dovrebbe essere tutelati anche nel caso in cui la propria carta venga persa/rubata assieme allo smartphone.
 
Lupak ha scritto:
...
- la carta viene aggiunta con successo sul nuovo smartphone grazie ad una notifica OTP che viene inviata sullo smartphone (rubato) del titolare della carta stessa
....
Clicca per espandere...

nella mia massima ignoranza tengo lo smartphone "antico" con le APP bancarie a casina in un cassetto
se mi entrano in casa non penso neppure che me lo rubino visto che è stagionato
 
Lupak ha scritto:
mi sento di consigliare di non consentire l'invio di notifiche in chiaro su schermata di blocco dei cellulari da parte di tutte le app che inviano codici OTP bancari o di accesso a mail e conti.
Clicca per espandere...
Esatto, questo fa parte dell'ABC delle minime misure di sicurezza che tutti dovrebbero tenere. L'anteprima a schermo imho è una delle più grosse sciocchezze che siano mai state concepite.

Queste vulnerabilità comunque mi fanno sempre venire in mente quella classica della carta smarrita: al di là delle spese che si possono fare contactless, che sarebbero probabilmente il danno minore per i limiti di spesa ed altre contromisure, mi riferisco ai vari siti come Amazon dove basta semplicemente collegare la carta per fare un pagamento. Non mi risulta, infatti, che venga chiesto un codice otp per autorizzare..
 
Ultima modifica:
Io invece ho il problema opposto in quanto dove mi trovo non arrivano gli sms e con il solo codice mio personale non posso eseguire il pagamento.

Sarebbe bello avere delle vie di mezzo o meglio ancora far scegliere il profilo di sicurezza al cliente (dentro degli standard si intende).

Buona potrebbe essere l'idea di una cifra buffer utilizzabile con meno sicurezze.
 
Vincent Vеga;57876761 ha scritto:
nella mia massima ignoranza tengo lo smartphone "antico" con le APP bancarie a casina in un cassetto
se mi entrano in casa non penso neppure che me lo rubino visto che è stagionato
Clicca per espandere...

io uso una soluzione di compromesso. I conti principali stanno nel telefono vecchio a casa (android), i conti secondari e le cartacce (hype, ecc) stanno su ios che viene sempre con me.
 
Devi accedere o registrarti per poter rispondere.
Indietro