Precedente :: Successivo |
Autore |
Messaggio |
abaddon Utente adulto
Registrato: 05/04/04 16:32 Messaggi: 2033
|
Inviato: Lun Mar 10, 2008 1:18 am Oggetto: Sicurezza conti online |
|
|
Ho aperto un conto corrente presso il Credito Bergamasco e tra le varie cose ho anche accesso allo sportello online con i più svariati servizi.
Per effettuare l'accesso sono obbligato a scaricare e installare un certificato personale(ogni utente ha quindi il suo, non ce n'è uno comune) nel browser che preferisco. L'installazione del certificato nel browser richiede l'inserimento di un'ulteriore password e se tutto va bene posso quindi loggarmi allo sportello online mediante un ID e una password personale. Per ottenere il certificato personale devo andare su una certa pagina del sito della banca e inserire un ID e un ulteriore password differenti da prima.
Altre banche tipo San Paolo utilizzato il token con codice numerico da associare all'ID e alla password.
Secondo voi tra i 2 metodi quale è il migliore dal punto di vista della sicurezza?
io ho fatto queste ipotesi:
Il certificato visto che può essere scaricato solo con una certa password è difficile che venga rubato, il token potrebbe essere più soggetto a furti. E' anche vero che se io lascio il pc acceso chiunque potrebbe copiarmi il certificato ma resterebbe comunque senza password per poterlo installare nel browser. Potrebbe però tentare un accesso al conto dal mio pc e troverebbe come unica bariera l'ID e la pass di login.
Per quanto riguarda la comodità indubbiamente il token è meglio, infatti posso portarmelo tranquillamente con me senza problemi e accedere da qualsiasi pc senza rischiare d lasciare poi dati sensibili nel browser. Il certificato ha la scomodità di dover essere scaricato e installato utilizzando codici diversi per le operazioni, inoltre bisogna ricordarsi di disinstallarlo una volta che si è terminato l'utilizzo se ci si trova su pc non propri o esposti a rischi.
Direi che utilizzando il certificato solo su pc propri si crea una situazione abbastanza sicura forse più dello stesso token che puo' essere perso o rubato con più facilità. L'unica vulnerabilità che vedo nell'approccio del certificato è quella di un accesso non autorizzato al mio pc personale che potrebbe essere comunque alleviata avendo la premura di disinstallare ogni volta il certificato dopo il suo utilizzo (zizi... e chi mai lo fa...)
Certificato leggermente più sicuro ma nettamente più scomodo rispetto al token?
voi che ne dite? |
|
Top |
|
|
vinz Amministratore
Registrato: 12/12/03 12:56 Messaggi: 6648 Residenza: San Pellegrino Terme (Bergamo)
|
Inviato: Lun Mar 10, 2008 8:37 am Oggetto: |
|
|
Il token non è sufficiente per l'autenticazione sui siti che ne prevedono l'uso: oltre all'ID personale (che dice alla banca CHI sei) e al codice del token, è necessario un ulteriore PIN. Quindi, in caso di furto, il token è inutilizzabile se non si conosce l'ID dell'utente e il PIN.
Altra cosa: secondo me è più facile accorgersi che ti rubino una cosa fisica come una chiavetta che una cosa virtuale come un certificato.
Mi sembrano comunque entrambi metodi molto sicuri; potendo scegliere, io opterei per quello a token (anche perché mi piace avere il portachiavi con un sacco di cose dentro ). _________________ Let the future tell the truth and evaluate each one according to his work and accomplishments. The present is theirs; the future, for which I really worked, is mine.
Nikola Tesla |
|
Top |
|
|
antonio Utente adolescente
Registrato: 18/02/06 12:07 Messaggi: 396
|
Inviato: Lun Mar 10, 2008 10:09 am Oggetto: |
|
|
ho installato lo stesso sistema a mio cognato... sinceramente non mi sognerei mai di consigliarlo per un uso mobile (nel senso su più computer) e non credo neanche sia consigliata la procedura che mi dicevi tu di disinstallare il certificato ad ogni navigazione. Il certificato una volta installato ci rimane.
Sono comunque convinto che i pericoli in un sistema bancario non siano di certo nella procedura di autenticazione ma più che altro in tutta quella serie di attacchi di tipo sociale. Con le giuste accortezze su come immagazzinare/scegliere la password una connessione ssl è più che sufficiente. Quello che c'è in più è per contrastare attacchi sociali; per questo come vinz considero migliore il token visto che è più vicino alla concezione popolare di chiave mentre il certificato di più difficile comprensione. |
|
Top |
|
|
abaddon Utente adulto
Registrato: 05/04/04 16:32 Messaggi: 2033
|
Inviato: Lun Mar 10, 2008 2:27 pm Oggetto: |
|
|
vinz ha scritto: | Il token non è sufficiente per l'autenticazione sui siti che ne prevedono l'uso: oltre all'ID personale (che dice alla banca CHI sei) e al codice del token, è necessario un ulteriore PIN. Quindi, in caso di furto, il token è inutilizzabile se non si conosce l'ID dell'utente e il PIN.
Altra cosa: secondo me è più facile accorgersi che ti rubino una cosa fisica come una chiavetta che una cosa virtuale come un certificato.
Mi sembrano comunque entrambi metodi molto sicuri; potendo scegliere, io opterei per quello a token (anche perché mi piace avere il portachiavi con un sacco di cose dentro ). |
Ovviamente al token come anche al certificato è assegnato un ID e un PIN per compiere il login, probabilmente mi sono spiegato male nel primo post
uhmm vero se mi fregano il token è più facile che me ne accorga, però se mi fregano il certificato devono anche fregarmi il codice necessario per installarlo nel browser altrimenti non se ne fanno nulla e quel codice non è allegato al certificato e non centra nulla con l'ID o il PIN utilizzato per il login.
Dal punto di vista della mobilità concordo con Antonio che è improponibile l'utilizzo di un certificato. |
|
Top |
|
|
|