Token: la mia banca è differente...

#1 15-09-2009, 15.23.36

Noto che le discussioni sul "token" sono sempre interessanti e animate
anche se spesso si scivola su tecnicismi non comprensibili da tutti.
Siccome in buona sostanza stiamo parlando di *sicurezza* o di
*maggior* sicurezza per il cliente e per la banca, mi viene a questo
punto spontaneo citare la mia esperienza personale.
Come mi è già capitato di scrivere, attualmente detengo due conti
bancari, uno presso Fineco e l'altro presso una banca tradizionale,
per la precisione una "banca popolare" di medie dimensioni. Mi
riferisco a quest'ultima.
E' stata tra le prime banche a mettere in piedi un servizio di home
banking per i clienti, che nel tempo è andato perfezionandosi.
In tema di *sicurezza* la banca ha da poco reso obbligatorio
(facoltativo in precedenza) un meccanismo di questo tipo.

1) Classica digitazione di "codice utente" e "password" personale. Con
ciò si entra nel sito e si può *vedere* tutta la propria situazione.

2) Nel caso si voglia dare alla banca una qualsiasi *disposizione*
occorre utilizzare una apposita "card" in dotazione a ciascun cliente.

La card è così concepita:
- 4 righe (A-B-C-D)
- 8 colonne (1-2-3-4-5-6-7-8)
In ciascuna delle risultanti 32 caselle è stampato un numero a due
cifre.

Se si vuole *disporre* del conto il sftw della banca chiede ogni volta
di inserire i numeri corrispondenti a due incroci, tipo:
inserisci i numeri corrispondenti a B3 e A7.
Ovvio che ogni volta che si vuole fare un'operazione la richiesta è
diversa.

Premesso che i dati del punto 1) ormai li so a memoria, la card la
porto con me. Se la perdo o me la rubano non succede nulla di grave,
tranne la seccatura di chiamare la banca e poi doverne chiedere
un'altra.
A me sembra un buon sistema di "ulteriore" sicurezza, ma chiedo agli
"esperti":

- la banca ha scoperto la "battaglia navale"?
- il meccanismo non è male?
- idea straordinaria?
- fa acqua da tutte le parti?

Tra l'altro la card ha sul retro una banda magnetica apparentemente
senza alcuna funzione. Chissà a cos'altro staranno pensando...

ps: per qualche "curioso" che volesse chiederlo, risparmio la sua
fatica e preciso che trattasi della Banca Popolare di Sondrio.

Saluti. Fred®

#2 15-09-2009, 15.31.13

Ciao Fred,

"Fred(R)" <mail_valida_nel_reply-to@nospam.invalid> wrote in news:4aaf9552
$0$1114$4fafbaef@reader1.news.tin.it:
....
> - la banca ha scoperto la "battaglia navale"?

meccanismo analogo usava, e credo usi ancora, BPM, quando avevo il conto
con loro. Card con N numeri di 4 cifre, all'ingresso e ad ogni disposizione
ti chiedevano due cifre a caso di uno dei numeri, scelto anch'esso ogni
volta a caso.

> - il meccanismo non è male?
> - idea straordinaria?

Direi la prima. Se non perdi in contemporanea tutte le informazioni (tipo
post-it con user id e password appiccicato dietro la card con i codici

hai più tempo per rendertene conto e rimediare.

Saluti,

--
Denis Sbragion
InfoTecna
Tel: +39 0362 805396, Fax: +39 0362 805404
URL: http://www.infotecna.it

#3 15-09-2009, 15.42.34

> 1) Classica digitazione di "codice utente" e "password" personale. Con ciò si
> entra nel sito e si può *vedere* tutta la propria situazione.
e questo già mi starebbe benissimo.
iwbank invece mi obbliga, anche solo per consultare, ad usare "codice
utente", password e numero generato dal token. ok la sicurezza, ma non
bisogna esagerare.

> 2) Nel caso si voglia dare alla banca una qualsiasi *disposizione* occorre
> utilizzare una apposita "card" in dotazione a ciascun cliente.
giustissimo IMHO. utilizzare un ulteriore combinazione numerica per
qualsiasi tipo di movimento. difficile che un ladro possa combinare
insieme tutti questi numeri e codici.

[cut]

> - la banca ha scoperto la "battaglia navale"?

a me non sembra niente di diverso dal token. anche banca intesa in
passato utilizzava un meccanismo simile, sostituito ora per tutti dal
token. basta tenere sempre separati token (o la card nel tuo caso) da
user id e password per essere ragionevolmente certi che nessuno possa
spostare un centesimo dal conto.

#4 15-09-2009, 16.01.15

On Tue, 15 Sep 2009 15:23:36 +0200, in it.economia.banche "Fred(R)" wrote:

>- la banca ha scoperto la "battaglia navale"?
>- il meccanismo non è male?
>- idea straordinaria?
>- fa acqua da tutte le parti?

Da "ignorante" (lascio la parola definitiva, senza possibilità di replica, agli
"indubitabili esperti") lo valuto come un sistema debole.
Alla lunga i codici sono ricostruibili.
E ipoteticamente concretizzabile la richiesta della medesima sequenza.
Se i diversi canali d'accesso prevedono il medesimo uso dei codici, la
vulnerabilità aumenta.

E' un sistema, nelle mie abitudini, comunque più comodo.
La sicurezza me la garantsico da solo (se la banca è tanto poca accorta da non
impormelo) cambiando con una frequenza alquanto alta la password.

Valgono, poi sempre, tutte le altre indicazioni di comportamento.

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#5 15-09-2009, 16.23.47

On Tue, 15 Sep 2009 15:42:34 +0200, in it.economia.banche "iceman" wrote:

>utente", password e numero generato dal token. ok la sicurezza, ma non
>bisogna esagerare.
Paradossalmente, potrebbe essere il sistema per "mettere una pezza" alla
debolezza del sistema.
Se ti costringo ad usare frequentemente i codici, riduco la possibilità che
qualcun altro che te ne ha sottratti alcuni, riesca ad utilizzarli.
Il tutto, ovviamente, sulle spalle della clientela.

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#6 15-09-2009, 17.06.57

On Tue, 15 Sep 2009 15:23:36 +0200, Fred(R) wrote:

> La card Ã¨ cosÃ¬ concepita:
> - 4 righe (A-B-C-D)
> - 8 colonne (1-2-3-4-5-6-7-8)
> In ciascuna delle risultanti 32 caselle Ã¨ stampato un numero a due
> cifre.

supponi di avere un rootkit od un keylogger sul tuo computer: ad un certo
punto tutte e 32 le caselle potrebbero essere tracciate...e quindi il
malintenzionato cui il keylogger spedisce i dati sarebbe in grado di fare
di tutto sul tuo conto.

con il token le combinazioni di 6 cifre sono decisamente di piu' e la
vita del malintenzionato sarebbe molto ma molto piu' complicata.

la sicurezza al 100% non esiste ma si tratta appunto di rendere la vita
molto ma molto piu' difficile (ai limiti dell'impossibile) ai "cattivi"

#7 15-09-2009, 18.06.14

"Fred(R)" <mail_valida_nel_reply-to@nospam.invalid>:
>In tema di *sicurezza* la banca ha da poco reso obbligatorio
>(facoltativo in precedenza) un meccanismo di questo tipo.
>1) Classica digitazione di "codice utente" e "password" personale. Con
>ciÃ² si entra nel sito e si puÃ² *vedere* tutta la propria situazione.
>2) Nel caso si voglia dare alla banca una qualsiasi *disposizione*
>occorre utilizzare una apposita "card" in dotazione a ciascun cliente.
>La card Ã¨ cosÃ¬ concepita:
>- 4 righe (A-B-C-D)
>- 8 colonne (1-2-3-4-5-6-7-8)
>In ciascuna delle risultanti 32 caselle Ã¨ stampato un numero a due
>cifre.
>Se si vuole *disporre* del conto il sftw della banca chiede ogni volta
>di inserire i numeri corrispondenti a due incroci, tipo:
>inserisci i numeri corrispondenti a B3 e A7.
>Ovvio che ogni volta che si vuole fare un'operazione la richiesta Ã¨
>diversa.

Come con la password di dieci caratteri di cui ogni volta se ne chiedono
due, non Ã¨ una "one-time password". Ci sono cioÃ¨ informazioni che
vengono riutilizzate, e consentirebbero cosÃ¬ tramite intercettazione di
ricostruire la password necessaria.

I meccanismi con token invece, che siano a tempo o sequenziali, generano
password "usa e getta" che, anche se intercettate, non sono
riutilizzabili. A meno che si vada su un sito fasullo, anche solo
parzialmente, che generi un errore fasullo all'immissione dalla password
per poi utilizzarla diversamente, ma si tratta di un attacco piÃ¹ complesso.

#8 15-09-2009, 18.28.06

On Tue, 15 Sep 2009 18:06:14 +0200, in it.economia.banche "Francesco Potorti`"
wrote:

>parzialmente, che generi un errore fasullo all'immissione dalla password
>per poi utilizzarla diversamente, ma si tratta di un attacco più complesso.
Perchè "più complesso"?

BTW
Chi sà se qualcuno, al posto dell'omino che froda realtime, ha già approntato
un gateway che lo faccia automaticamente?

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#9 15-09-2009, 18.35.36

"Mamo (R)" <mamoNOSPAM@gmail.com> wrote in
news:c0gva55iq6iu7bt7ockuphb9686c0hhuhc@Mamo.mm:
> Chi sà se qualcuno, al posto dell'omino che froda realtime, ha già
> approntato un gateway che lo faccia automaticamente?

Ci arriveranno, non avere fretta!

--
Denis Sbragion
InfoTecna
Tel: +39 0362 805396, Fax: +39 0362 805404
URL: http://www.infotecna.it

#10 15-09-2009, 18.50.29

On Tue, 15 Sep 2009 16:35:36 +0000 (UTC), in it.economia.banche "Denis
Sbragion" wrote:

>Ci arriveranno, non avere fretta!

Su questo non ho dubbi, mi chiedevo come mai non ci hanno ancora provato.
Forse la "manodopera" è più a buon mercato...

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#11 15-09-2009, 19.58.04

On Tue, 15 Sep 2009, Mamo (R) wrote:

> Paradossalmente, potrebbe essere il sistema per "mettere una pezza" alla
> debolezza del sistema.

Ohhhh finalmente ne hai detta una giusta.

E sai qual'è l'anello debole della catena? ti do un indizio: non è la
banca.

> Il tutto, ovviamente, sulle spalle della clientela.

Come è giusto che sia. Il bancomat e la carta di credito ti vengono
consegnate con il principio di un uso accorto secondo le regole imposte
dal produttore (ovvero la banca). Se tu ci attacchi il post-it, non puoi
venire a piangere che la banca è brutta e cattiva.

ivan
--

#12 15-09-2009, 22.33.52

In news: e77va5h854apuh3o7r386ej1k4ao912s4k@Mamo.mm
"Mamo (R)" ha scritto:

> La sicurezza me la garantsico da solo (se la banca è tanto poca
> accorta da non impormelo) cambiando con una frequenza alquanto alta
> la password.

E mi sembra la migliore soluzione del classico *buon senso*, aldilà
dei tanti tecnicismi, tutti validi ma, a quel che leggo, tutti
potenzialmente scavalcabili.
Mentre non sono del tutto d'accordo con affermazioni di *principio*
che prevedono che sia sempre e *solo* il cliente a doversi porre certi
problemi.
A mio avviso dovrebbe essere primariamente la banca a preoccuparsi
della *sicurezza* in generale, mettendo in piedi sistemi che non siano
semplicemente delle "raccomandazioni" al cliente di fare così o colà.

Saluti. Fred®

#13 15-09-2009, 22.54.42

On Tue, 15 Sep 2009 18:06:14 +0200, Francesco Potorti` wrote:

> A meno che si vada su un sito fasullo, anche solo
> parzialmente, che generi un errore fasullo all'immissione dalla password
> per poi utilizzarla diversamente, ma si tratta di un attacco piÃ¹
> complesso.

in ogni caso anche questo attacco fallirebbe nel caso di molte banche:
per la banca che uso io la otp viene richiesta al login la prima volta e
poi per ogni disposizione...tra le due operazioni il sito fasullo
dovrebbe comunque inviare all'utente dati plausibili (nella home page
c'e' il mio saldo...ed altre info che io riconosco al volo) e sarebbe
decisamente troppo complesso.

#14 16-09-2009, 09.16.14

Ciao Fred,

"Fred(R)" <mail_valida_nel_reply-to@nospam.invalid> wrote in news:4aaffa33
$0$1096$4fafbaef@reader3.news.tin.it:
....
> A mio avviso dovrebbe essere primariamente la banca a preoccuparsi
> della *sicurezza* in generale, mettendo in piedi sistemi che non siano
> semplicemente delle "raccomandazioni" al cliente di fare così o colà.

se e quando si può fare. Ribadisco la famosa frase del famoso generale
esperto di sicurezza del pentagono: nessun sistema è più sicuro delle
persone che vi operano dentro. O se preferisci, più prosaicamente, possiamo
citare Murphy: gli imbecilli sono sempre più intelligenti dei metodi messi
in atto per impedirgli di nuocere.

Saluti,

--
Denis Sbragion
InfoTecna
Tel: +39 0362 805396, Fax: +39 0362 805404
URL: http://www.infotecna.it

#15 16-09-2009, 12.51.22

In news: Xns9C885E4E96BD4dsbragioninfotecnait@193.43.96.1
"Denis Sbragion" ha scritto:

> se e quando si può fare.

Certamente. Si tratta di trovare il famoso "giusto mezzo" tra cosa
*deve* fare la banca e cosa *deve* fare il cliente.
Però un buon sistema di sicurezza deve essere buono di per se e non
costringere il cliente a defatiganti operazioni o alchimie mnemoniche
per far diventare buono un sistema che nasce 'na schifezza.
Questo volevo dire.
Mi pare che Popolare Sondrio abbia concepito un "giusto mezzo".
Non capisco, ad esempio, come mai Fineco (IMO, online ottima per molti
aspetti) ancora si limiti a cod. utente e pwd, considerato anche che è
stata la prima banca on line ad affacciarsi sul mercato italiano.
Ora avrebbe pure tutte le possibilità di copiare/migliorare le
esperienze altrui sull'argomento.

ps: in ogni caso, a dimostrazione della giustezza della frase del
generale che hai ricordato, in tanti anni di "attività" online
(banche, carte di credito, acquisti su e-commerce, registrazioni
varie, ecc.) non ho (mai) avuto problemi. E' sempre stato sufficiente
usare la c.d. "diligenza del buon padre di famiglia" (la stessa poi
che va utilizzata nella real life) e tutto è sempre filato liscio.
Chiaro poi che la "fregatura" è sempre dietro l'angolo e... mai
abbassare la guardia.
;-)

Saluti. Fred®

#16 16-09-2009, 17.38.12

"Fred(R)" <mail_valida_nel_reply-to@nospam.invalid>:
>Non capisco, ad esempio, come mai Fineco (IMO, online ottima per molti
>aspetti) ancora si limiti a cod. utente e pwd, considerato anche che Ã¨
>stata la prima banca on line ad affacciarsi sul mercato italiano.
>Ora avrebbe pure tutte le possibilitÃ* di copiare/migliorare le
>esperienze altrui sull'argomento.

Hanno un nuovo sistema opzionale, si chiama SMS PIN
<http://www.fineco.it/index_SP.html?S...i&area=banking

#17 16-09-2009, 23.32.25

In news: 87eiq699y3.fsf@tucano.isti.cnr.it
"Francesco Potorti`" ha scritto:

> Hanno un nuovo sistema opzionale, si chiama SMS PIN
> <http://www.fineco.it/index_SP.html?S...i&area=banking
Vero. PerÃ²:

1) l'utilizzo Ã¨ "facoltativo", come hai giÃ* detto
2) Ã¨ limitato ai soli bonifici
3) presuppone il possesso di un cellulare

Comunque Ã¨ giÃ* qualcosa.

Saluti. FredÂ®

#18 17-09-2009, 00.30.57

Fred(R) wrote:
>> Hanno un nuovo sistema opzionale, si chiama SMS PIN
>> <http://www.fineco.it/index_SP.html?SP=tuttiservizi&area=banking> Vero. PerÃ²:
> 1) l'utilizzo Ã¨ "facoltativo", come hai giÃ* detto
> 2) Ã¨ limitato ai soli bonifici
> 3) presuppone il possesso di un cellulare

1) L'utilizzo e' facoltativo, ma gratuito: se un utente e' cosi' pigro
da non volerlo usare...
2) E' utilizzato anche quando vengono aggiunti beneficiari per le
ricariche telefoniche
3) Onestamente, in Italia, con il livello di penetrazione dei cellulari
che esiste, non mi pare una limitazione. Davvero pensi che qualcuno
abbia un conto online ma non un cellulare? E ammesso anche che ci sia un
1% di clienti in questa condizione, c'e' sempre l'altro 99%...

Io preferisco di gran lunga questo, piuttosto che dovermi scarrozzare in
giro la chiavetta. E sono anche contento che sia limitato ai servizi che
possono fare "uscire" soldi dal conto: se anche qualcuno riesce ad
entrare nel mio conto a dare un'occhiata, la cosa non mi crea soverchi
problemi (ma ammetto di essere un'eccezione).

Ciao, Aldbert.

#19 17-09-2009, 13.19.47

On Tue, 15 Sep 2009 19:58:04 +0200, in it.economia.banche "Ivan Pintori" wrote:

>Ohhhh finalmente ne hai detta una giusta.
Mi spiace, ma questa tua affermazione, è palesemente fallace.
Se accetti la pezza, accetti -evidentemente- il buco. Ovvero l'intrinseca
superabilità dei codici prodotti dai token.
Quindi, se è giusta questa, sono giuste anche le precedenti.
Ergo, nè ho detta *un altra* giusta.

Questo lascialo decidere a chi paga.
Io (cleinte)

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#20 17-09-2009, 13.28.18

On Wed, 16 Sep 2009 12:51:22 +0200, in it.economia.banche "Fred(R)" wrote:

>Non capisco, ad esempio, come mai Fineco (IMO, online ottima per molti
>aspetti) ancora si limiti a cod. utente e pwd, considerato anche che è
>stata la prima banca on line ad affacciarsi sul mercato italiano.
Perchè basta?
:-)

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#21 17-09-2009, 15.17.38

On Thu, 17 Sep 2009, Mamo (R) wrote:

> Se accetti la pezza, accetti -evidentemente- il buco. Ovvero l'intrinseca
> superabilità dei codici prodotti dai token.

??? E da dove arriva fuori questa arrampicata di specchi?

> Ergo, nè ho detta *un altra* giusta.

No, è la prima che dici.

> Questo lascialo decidere a chi paga.
> Io (cleinte)

Indubbiamente. Così come io, impresa, posso scegliere i miei, di clienti.

ivan
--

#22 17-09-2009, 17.10.22

On Thu, 17 Sep 2009 15:17:38 +0200, in it.economia.banche "Ivan Pintori" wrote:

>??? E da dove arriva fuori questa arrampicata di specchi?
Semplice logica.

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#23 17-09-2009, 17.28.54

In news: m974b5tqjnfs4m2vt6u89q02vvkp3ndn10@Mamo.mm

> Perchè basta?
> :-)

ok, ok, cod.ut., pwd e codice dispositivo (scelto dall'utente) se si
vuole "disporre".
ps: mamma mia, qui si viene "ripresi" subito....
;-)

Saluti. Fred®

#24 21-09-2009, 08.14.07

On Thu, 17 Sep 2009 17:28:54 +0200, in it.economia.banche "Fred(R)" wrote:

>ps: mamma mia, qui si viene "ripresi" subito....

Veramente, la mia domanda retorica voleva significare che IMHO basta (e avanza)
l'accoppiata userid&password...

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#25 21-09-2009, 16.16.34

In news: qgl9b512nb6e51lmqbhi7pen6nsp281ajg@Mamo.mm

> Veramente, la mia domanda retorica voleva significare che IMHO
> basta (e avanza) l'accoppiata userid&password...

Non avevo capito.
IMO una ulteriore pwd per "disporre" è cosa buona e giusta, anche dal
punto di vista psicologico per il cliente.
Che questa pwd sia un token, una card, o "mia creazione",
personalmente mi interessa poco anche se vedo che invece molti qui si
accapigliano su questo argomento.
Resto dell'avviso che la "sicurezza" deve curarla la banca
innanzitutto.
Cioè per me è veramente importante che la banca abbia le migliori
misure atte ad impedire a chiunque di "entrare" nella banca e fregarsi
dei quattrini (o qualsiasi altra cosa). Tutto qui.

Saluti. Fred®

#26 21-09-2009, 16.37.13

"Fred(R)" <mail_valida_nel_reply-to@nospam.invalid> ha scritto nel messaggio
news:4ab78ac2$0$1110$4fafbaef@reader1.news.tin.it. ..
> Resto dell'avviso che la "sicurezza" deve curarla la banca innanzitutto.
> Cioè per me è veramente importante che la banca abbia le migliori misure
> atte ad impedire a chiunque di "entrare" nella banca e fregarsi dei
> quattrini (o qualsiasi altra cosa). Tutto qui.
Hai perfettamente ragione, non una ma mille e una volta.
Vedi, il padrone di casa, deve mettere in atto tutte quelle misure di
sicurezza, attiva e passiva, per rendere inviolabile, il più umanamente
possibile, la sua casa e salvaguardare l'integrità sua, dei familiari e
tutti i beni in essa contenuti. Poi da una copia delle chiavi a figlio,
ormai ultramaggiorenne e vaccinato; in fin dei conti non gli potrai mica,
alla sua età, vietare di uscire o di uscire con i genitori? Il figlio,
quando va al bar per l'aperitivo con gli amici, mentre se ne stanno seduti
sugli sgabelloni, ama vantarsi di possedere questo e quello e ha la buona
abitudine di appoggiare sul bancone, il cellulare, il portafoglio e le
chiavi; in fin dei conti in tasca gli darebbero fastidio e gli
deformerebbero le braghe super attillate. Se, mentre il nostro amico è
intento a sbevazzare, un buontempone si fa una copia delle chiavi e guarda
dai documenti dove egli abita, e poi va a riupulire l'appartamento del
papà, così pieno di cianfrusaglie... di chi è la colpa del papà o di quel
coglione, scusa l'eufemismo, del figlio? D'acchitto sarei propenso a dire
che la colpa è del padre che non ha educato, a suo tempo, il figlio a suon
di sberle.
Cordialità
Gi

--
Per chi avesse necessità di contattarmi privatamente:
gsassachiocciolatiscalipuntoit
Scusate il disturbo.

#27 21-09-2009, 16.42.12

On Mon, 21 Sep 2009 16:16:34 +0200, in it.economia.banche "Fred(R)" wrote:

>IMO una ulteriore pwd per "disporre" è cosa buona e giusta, anche dal
>punto di vista psicologico per il cliente.
Più cose devi ricordarti, più tendi ad appuntarle da qualche parte nel timore
di dimenticarle...
Siamo in pieno campo di applicazione del rasoio di Occam, direi.

>Resto dell'avviso che la "sicurezza" deve curarla la banca
>innanzitutto.
Boh... non saprei essere così determinato.
Certo che non deve illudere con false garanzie, o complicare inutilmente la
vita ai clienti.

Uno dei sistemi in voga all'alba dei servizi online, erano i "certificati" da
installare sul singolo computer.
Scomodi, vincolavano ad usare quella specifica macchina.
Ma certamente più sicuri di tanti gadget oggi di moda.
Pensateli in abbinata ad una smartcard...

Saluti, Mamo.

--
Conoscere i corretti comportamenti da tenere,
è il miglior modo per frequentare i newsgroup.
Inizia a leggere qualcosa: http://wiki.news.nic.it/AiutoComposizione

#28 23-09-2009, 11.31.25

"Mamo (R)" <mamo.NOSPAM@gmail.com> ha scritto nel messaggio
news

p3fb5lh25r6is4h1vo89gn7eg57lfuuq6@Mamo.mm...

> Più cose devi ricordarti, più tendi ad appuntarle da qualche parte nel
> timore
> di dimenticarle...

Sì ma una password dispositiva realizza anche una firma elettronica per le
singole disposizioni.
Quindi si tratta anche di un modo per registrare la specifica volontà di
disporre quell'operazione indipendentemente dall'ingresso nel sistema di
home banking.
Il sistema dei tre codici (userid, password di accesso e password
dispositiva) è il minimo per un sistema di home banking.

Max max

#29 26-09-2009, 17.29.28

Francesco Potorti` ha scritto:

> I meccanismi con token invece, che siano a tempo o sequenziali, generano
> password "usa e getta" che, anche se intercettate, non sono
> riutilizzabili.

solo che sti token che tu sappia sono personali o uguali per tutti?,

mi sÃ* che la mia banca ha un token uguale per tutti.
quindi sapendo userid e password e procurandosi il token della banca i
soldi van via come aprire una ferrarelle...

son preoccupato...

#30 27-09-2009, 00.00.10

none <none@none.invalid>:
>> I meccanismi con token invece, che siano a tempo o sequenziali,
>> generano password "usa e getta" che, anche se intercettate, non sono
>> riutilizzabili.
>solo che sti token che tu sappia sono personali o uguali per tutti?,

Se fossero ugali per tutti sarebbero poco utili...

>mi sÃ* che la mia banca ha un token uguale per tutti.

Come lo sai?

#31 29-09-2009, 16.08.09

Francesco PotortÃ¬ ha scritto:

>> mi sÃ* che la mia banca ha un token uguale per tutti.
> Come lo sai?

l'omino ha fatto un'operazione a video in ufficio con me e ha detto con
un collega hai un token?

magari speriamo ho capito male io...

ciao e grazie della risposta.