sicurezza home banking

#1 26-11-2004, 14.21.10

su Punto Informatico un utente anonimo ha scritto questi spunti
interessanti:
che ne pensate?

-------------------------
Anche se un craker (o un grissino) ti ruba login e password,
se si applicano i seguenti accorgimenti,
NON SUCCEDE NULLA DI GRAVE.

IDEE PERSONALI suscettibili di miglioramento.
1) Ci sono banche che usano le password a perdere casuali, perciò se non
hai
il libretto da consultare con tutti i codici possibili non puoi entrare.
2) poi è utile limitare il plafond massimo giornaliero dei BONIFICI a pochi
euro tipo 500/1000 o (SE NON si usa fare pagamenti on line) disabilitarli
del tutto. Così nessuno ti toglie nulla anche se accede al conto o il danno
è limitato.
3) Sul mio conto la banca mi invia ogni giorno un email automatica con il
saldo: SE CI SONO MOVIMENTI STRANI me ne accorgo e ho tempo 3 giorni (tempo
di valuta) x bloccarli. Se sto in ferie a lungo con una telefonata blocco
l'accesso al conto fino al ritorno.
4) Sarebbe utile l'autenticazione del login tramite IC (identificaz.
chiamante) del telefono così si è sicuri al 100% da dove proviene
l'accesso.
Oppure l'autenticazione tramite SMS.
Purtroppo nessuna banca li fa ancora.
5) Sul mio conto la banca usa il certificato digitale mi pare sia difficile
da prelevare, perciò non basta
rubare login e password.
6) si possono usare chiavi USB con i dati di accesso criptati e/o l'accesso
con impronta digitale.
7) si può usare un computer dedicato ESCLUSIVAMENTE solo all'home banking
senza client di posta e un'altro
Pc con uso normale.
8) tante altre cose possibile che ad ogni utente di BUONSENSO possono
venire
in mente.
9) SE NON SIETE D'ACCORDO PROPONETE DI MEGLIO.

Il problema è perchè non ci pensano le banche?

--
La verità è allergica ai conflitti d'interesse...

questo articolo e` stato inviato via web dal servizio gratuito
http://www.newsland.it/news segnala gli abusi ad abuse@newsland.it

#2 26-11-2004, 17.52.54

Così g1gNIHILSPAM@email.it (digitus) scrisse :

> Il problema è perchè non ci pensano le banche?

Secondo me c'e' un trade off da rispettare tra difficoltà d'uso e
sicurezza

Ad esempio con banca intesa se vuoi fare la disposizione sopra una certa
cifra devi inserire un codice "usa e getta" presente su un libretto che
ti forniscono, altre invece come il sanpaolo hanno solo il limite
personalizzabile.

Bnl a quanto ho capito (mai provato) ha un sistema e-family
complicatissimo per cui ogni votla che vuoi collegarti alla banca devi
prima impostare un proxy, ecc ecc... per cui ho sentito di tante persone
che avevano avuto difficoltà di tanto in tanto..

L'ambroveneto qualche anno fa addirittura ti costringeva a inserire ogni
volta un certificato digitale presente su un floppy per fare le
operazioni grazie a una applet particolare, pensa a chi aveva un sistema
operativo diverso da windows o non aveva il lettore floppy

Alla fin fine io penso che il maggior problema di sicurezza stia
nell'utente e di certo la banca non se ne puo' fare carico dell'utente
distratto, per non rendere la vita troppo complicata a tutti gli altri.

Tutte le banche hanno almeno un sistema a doppia password
(informativa/dispositiva) che si blocca dopo 3-5 tentativi errati.

Se si sceglie bene la password è praticamente impossibile da violare,
serve Gastone il fortunato non un hacker.

Se poi uno è talmente sprovveduto da prendere virus e/o trojan per cui
gli intercettano le password allora è un altro paio di maniche, ma una
persona che avesse così poca dimestichezza con il computer farebbe meglio
ad abilitarsi solo i servizi informativi e non quelli dispositivi ! Se ci
sono poche persone così "distratte" (eufemismo), mica si puo' costringere
tutti i clienti (magari gente che fa trading da 3-4 anni, deve entrare
ogni giorni più volte al giorno e non ha mai avuto problemi) a fare le
autenticazioni da impronta digitale, chiavi hardware, mandare sms, ecc...

#3 26-11-2004, 20.09.02

Una delle più sicure in assoluto è MPS:

senza certificato non puoi mettere manco user e password.....

#4 26-11-2004, 21.33.35

guarda che il problema e' diverso. immagina di avere un pannello di
controllo o un terminale come in banca, dove puoi creare, cancellare e
modificare i vari conti... puoi avere tutti gli antivirus, spyware,
firewall che vuoi, ma il problema persiste.

non e' colpa dell'utente, ma e' proprio nella sicurezza della banca!! poco
tempo fa, ho trovato anche io una falla nella mia banca. praticamente potevo
fare l'estratto conto dei vari clienti. ho informato immediatamente il
responsabile e nel giro di qualche ora , hanno sistemato tutto.

#5 26-11-2004, 22.03.08

Così "DNS" <DNS@dns.co.uk.jp> scrisse :

> non e' colpa dell'utente, ma e' proprio nella sicurezza della banca!!

Beh, quello che dici tu è gravissimo. Ma nel post originale si parlava
della sicurezza dell'home banking, quindi da lato utente, e di roba come
password ecc.

Quindi una cosa diversa, tu invece parli di sicurezza proprio dei sistemi
bancari, che a rigor di logica non dovrebbero essere collegati all'home
banking ma viaggiare separatamente e quindi i vari "pannelli di
controllo" non essere accessibili da internet ma tramite linee dedicate.

Ad ogni modo penso che se veramente riuscivi a vedere da internet
l'estratto conto di altre persone il sistema home banking fosse veramente
vergognoso, e quindi in quel caso sicuramente è colpa della banca, ma non
credevo ci fossero in giro ancora home banking così o_O'...

#6 27-11-2004, 17.40.30

"digitus":
..........................
> Il problema è perchè non ci pensano le banche?

Forse perche' i soldi non sono i loro, ed in caso di "grane"
io [ed anche voi ;-)] non abbiamo il minimo dubbio su chi
sarebbe costretto a soccombere ;-); o, in altre parole, a
prenderselo.....

Mi dicono (ma io non sono in grado di giudicare) che
una "on line" tra le meno protette sia quella qui molto
apprezzata, tra l'altro (o sopratutto?) per i suoi bassi costi.

Carlo, forse, preferirebbe pagare qualche euro in piu'
a fronte di una maggior sicurezza ed attenzione. :-)
Mi troverebbe assolutamente solidale. Ciao Carlo. :-)
Comunque fin che la barca va....
Ne riparliamo alla prima seria grana...
Speriamo bene, Rataplan.

#7 27-11-2004, 18.33.34

> Beh, quello che dici tu è gravissimo. Ma nel post originale si parlava
> della sicurezza dell'home banking, quindi da lato utente, e di roba come
> password ecc.
non mi pare proprio. su punto informatico, si parlava di
aggiungere/cancellare/modificare account senza l'ausilio di alcuna password
... Leggiti l'articolo!

> Quindi una cosa diversa, tu invece parli di sicurezza proprio dei sistemi
> bancari, che a rigor di logica non dovrebbero essere collegati all'home
> banking ma viaggiare separatamente e quindi i vari "pannelli di
> controllo" non essere accessibili da internet ma tramite linee dedicate.
teoricamente si... praticamente, a quanto pare , non e' cosi!

> Ad ogni modo penso che se veramente riuscivi a vedere da internet
> l'estratto conto di altre persone il sistema home banking fosse veramente
> vergognoso, e quindi in quel caso sicuramente è colpa della banca, ma non
> credevo ci fossero in giro ancora home banking così o_O'...
in effetti questo non usava neanche l'https!! comunque a volte ci sono dei
bug veramente clamorosi!! anche usando l'https, capita, di poter vedere le
cose degli altri utenti.

#8 28-11-2004, 14.06.14

Caro digitus, hai (ri)sollevato un problema che mi interessa molto...

Dunque, sgombriamo il campo da alcune cosette essenziali: se ti fregano
username e password perche' le hai scritte belle chiare dietro il
bancomat e' colpa tua e la banca ha buon diritto di lavarsene la mani...

Pero' pero', da qui in su a mio parere c'e' molto da discutere.

1) I certificati e le procedure dovrebbero essere preparati dalla banca
in modo tale che anche se un virus lo manda per posta elettronica a giro
non e' che la gente se ne possa fare molto senza avere altri dati
accoppiati difficili da ottenere. Non sono espertissimo nel campo e
quindi spero di non avere troppo sempificato il problema, ma a naso direi
che si dovrebbe poter fare. Altrimenti ad esempio tutte le transazioni
online con le carte di credito sarebbero ad altissimo rischio (il che
magari e' possibile, ma leggi piu' sotto).
Quindi in questo caso se succede qualcosa secondo me il sistema e' mal
costruito dall'inizio ed e' colpa almeno in parte della banca.

2) L'HB e' comodo perche' e' comodo internet. Perche' sia veramente
utile, secondo me deve essere possibile sentirsi sicuri di utuizzarlo e
poterlo utilizzare anche in casi estremi tipo: sono alle Fiji e mi
ricordo che non ho pagato il salumiere negli ultimi 10 anni. Se non pago
subito mi protesta. Nessun problema da laggiu' faccio un un bel bonifico
da 100000 Euro (mi piacciono molto i salumi... ;-)) ) e sono a posto.
Se non mi sento sicuro o la banca ha escogitato un sistema inutilizzabile
in queste situazioni o il servizio non e' sicuro (e allora nascono
problemi anche dal mio PC personale a casa) oppure il servizio di HB non
e' utilizzabile al meglio.
D'altro canto, tutto e' perfettibile avendo pazienza e ammetto che puo'
essere accettabile anche un servizio limitato, ma migliore del solo
servizio allo sportello. Basta sapere cosa si ha a disposizione. In fondo
15 anni fa Internet era per pochissimi e lo HB si faceva con il Videotel
della SIP. Qualcosa e' effettivamente migliorato nel frattempo.

Venendo ai casi pratici ho fatto questa domnanda al Call center della mia
banca (Unicredit): ma se per cause non dipendenti da me uno entra nel mio
conto (su come accertare che non sono dipendenti da me forse c'e' da
discutere, ma facciamo conto che questo sia il caso) e fa un bonifico
verso terzi, chi ne risponde?
Risposta: il nostro sistema e' perfetto (usano le chiavi a perdere), non
c'e' modo che queste cose possono accadere. La responsabilita' e' tutta
del cliente.

Questo e' il genere di risposta che mi fa girare le scatole. Intanto non
c'e' sistema perfetto. Poi io come utente mi devo fidare della loro
fideistica dichiarazione e non ho modo (ne' competenze peraltro) per
poter verificare che il sistema sia veramente sicuro. Percio' perche'
tutta la responsabilita' deve ricadere su di me?
Venendo al paragone con le carte di credito, e' uso normale che, in caso
di frode, nella peggiore delle ipotesi siamo in genere responsabili per
una franchigia di 150 Euro. E infatti la gente utilizza le carte
di credito su Internet. Perche' tale prassi non e' applicabile allo HB?

E allargando i paragoni, tutti questi problemi capitano perche' siamo in
Italia. Un anno fa giusto giusto espressi questi miei dubbi ad un mio
amico che risiede in UK e che aveva attivato l'HB sul suo conto inglese.
Allarmato dai miei dubbi, appena e' tornato a casa ha fatto la mia stessa
domanda presso la sua banca. La risposta e' stata ben diversa: in caso di
frode (da accertare, ovviamente) la banca e' responsabile.
Insomma, all'estero si prevede che il cliente in certi casi puo' non
essere responsabile e la banca e' tenuta a coprire il guaio. Come al
solito qui siamo utenti e la' siamo clienti. E qui ci sembra normale
essere utenti.

E allora ci abituiamo a sistemi incredibilmente complicati di accesso,
che limitano molto la utilizzabilita' degli account quando non si e' sul
computer dedicato di casa o si utilizzano sistemi operativi diversi da
quelli supportati. Il tutto, visto dalla parte del cliente, per non
rimetterci i propri soldini sul conto.

E' ovvio che, come dicevo all'inizio, e' ovvio che il sistema bancario
faccia in modo che il cliente si senta libero di divulgare ai quattro
venti i propri dati di accesso senza conseguenze, ma anche le banche
devono prendersi le loro responsabilita' e soprattutto, proprio come
conseguenza di questo, sapendo di non poter scaricare tutto sul cliente,
essere spinte a progettare i sistemi in maniera che non siano penetrabili
da malintenzionati (o da addirittura semplici clienti che senza volere
leggano i dati degli altri clienti come da altro post).

Nel frattempo sono ovviamente poco propenso ad aprire via
Internet funzioni dispositive sul mio conto ... e dire che non mi ritengo
persona poco propensa ad utilizzare la rete, anzi!

Sarei anche interessato a sapere quali sono le garanzie (se ve ne sono) a
tutela dei clienti operate dai gruppi bancari italiani. Questa per me
potrebbe effettivamente essere una buona ragione per cambiare banca (non
che ne abbia gia' abbastanza, ma sono sempre un pelino sotto soglia e
questa potrebbe essere la goccia di troppo).

Ho pensato per diverso tempo questo post, ma ora l'ho scritto di getto,
per cui spero di non aver scritto troppe inesattezze...

Grazie anticipatamente per commenti o informazioni al riguardo.

Sleepy

#9 30-11-2004, 08.15.16

Speravo che questo 3d continuasse

Speravo di leggere idee e suggerimenti. ;-)
Speravo, sopratutto, di leggere solleticitazioni ;-)
giusta propedeutica al giusto pretendere
sicurezza....;-)

Ma sono solo i costi che caratterizzano la
scelta di una on line? :-0)

Il perplesso Rataplan.

#10 01-12-2004, 16.26.14

"Rataplan":
> Speravo che questo 3d continuasse

> Speravo di leggere idee e suggerimenti. ;-)
> Speravo, sopratutto, di leggere solleticitazioni ;-)
> giusta propedeutica al giusto pretendere
> sicurezza....;-)
>
> Ma sono solo i costi che caratterizzano la
> scelta di una on line? :-0)
>
> Il perplesso Rataplan.

Niente eh?
Proprio nessuno ne vuol parlare...
Che il Santo Patrono degli utOnti on line
abbia pieta' di noi, allora ...