Salve a tutti,
sto valutando l'apertura del conto in oggetto ed ho dato un'occhiata alla
procedura di accesso del conto via internet: dato che la password di
login è composta da solo 3 cifre volevo chiedere se superato il "1°
livello" viene richiesta una seconda password? Perchè mi sembra in caso
negativo che il livello di protezione è piuttosto basso, e inoltre non
riesco a spiegarmi che senso avrebbe introdurre solo 3 cifre riducendo le
combinazioni possibili a 1000 tentativi!

Inoltre potreste dirmi se il servizio telefonico è efficiente a livello
operativo e di assistenza?

Grazie in anticipo,
Stefano

"Stefano P." <nonvalido@invalid.com> ha scritto nel messaggio
news:44f75215_3@x-privat.org...
> Salve a tutti,
> sto valutando l'apertura del conto in oggetto ed ho dato un'occhiata alla
> procedura di accesso del conto via internet: dato che la password di
> login è composta da solo 3 cifre

la password è di 10 cifre , ma te ne chiede solo 3 , che cambia di volta in
volta , per maggiore sicurezza in caso di sbirciate.
Se anche quei fanfaroni obsoleti del san paolo -intesa etc ... si
inventassero queste cose sicure , ci sarebbero
meno pensionati con il conto svuotato dai rumeni.

"Stefano P." <nonvalido@invalid.com> ha scritto nel messaggio
news:44f75215_3@x-privat.org...
> Salve a tutti,
> sto valutando l'apertura del conto in oggetto ed ho dato
> un'occhiata alla procedura di accesso del conto via internet:
> dato che la password di login è composta da solo 3 cifre (.....)

Confermo quanto ha detto Gabriele: la password è di 10 cifre ma quando ti
colleghi via Web te ne chiedono solo 3, a caso.
Se invece accedi al conto via telefono devi digitarle tutte e 10, ma mi chiedo
se sia più sicuro usare 3 cifre su 10 con una connessione criptata o tutte e 10
le cifre su una linea telefonica analogica che può essere facilmente
intercettata... e per questa ragione evito accuratamente di usare il telefono di
casa, al limite se non posso fare a meno di contattare il call center uso il
cellulare.

Il massimo della sicurezza, a mio parere, a tutt'oggi è la chiavetta di
Unicredit: genera passwords a 7 cifre che cambiano ogni 60 secondi e servono per
le operazioni dispositive, cioè quando il denaro deve uscire dal conto corrente.
In giro non vedo nulla di meglio.


> Inoltre potreste dirmi se il servizio telefonico è
> efficiente a livello operativo e di assistenza?

Quando ho avuto necessità di chiamare il call center per collegare altri conti
correnti al Santander sono stati cortesi ed efficienti.
Ma sospetto che altri possano affermare il contrario... dipende dalla persona
con cui si ha a che fare.

Gabriele wrote:

> Se anche quei fanfaroni obsoleti del san paolo -intesa etc ... si
> inventassero queste cose sicure , ci sarebbero
> meno pensionati con il conto svuotato dai rumeni.

Penso che la casistica di conti online di pensionati derubati da rumeni
sia pari a zero; considera che ad esempio Banca Intesa ti chiede:

- Utenza -> 8 caratteri
- Password a tua scelta per accedere al servizio
- Password per poter disporre delle operazione
- Chiavi di sicurezza per operazioni di importo superiori a quanto tu
hai deciso.

Se qualcuno riescer a farsi derubare con questo livello di protezione
è francamente un idiota.....

> la password è di 10 cifre , ma te ne chiede solo 3 , che cambia di volta in
> volta , per maggiore sicurezza in caso di sbirciate.
> Se anche quei fanfaroni obsoleti del san paolo -intesa etc ... si
> inventassero queste cose sicure , ci sarebbero
> meno pensionati con il conto svuotato dai rumeni.

Confermo quanto ha scritto Matteo riguardo Banca Intesa.
Le chiavi a consumo, unite alla chiavetta, sono quanto di più sicuro
si possa immaginare in quanto durano 1 volta sola.

Se poi estendiamo il discorso alla carta di creduto Flash, il suo
utilizzo su internet è tra i più sicuri, in quando puoi generarla
solo nel momento dell' utilizzo, farla durare solo per quella
transazione e caricarla alla quota desiderata. Più di così !

Non sono fanatico di Intesa, anzi, però le cose vanno dette come sono

Informati meglio.

Dopo dura riflessione, Stefano P. ha scritto :
> Salve a tutti,
> sto valutando l'apertura del conto in oggetto ed ho dato un'occhiata alla
> procedura di accesso del conto via internet: dato che la password di
> login è composta da solo 3 cifre volevo chiedere se superato il "1°
> livello" viene richiesta una seconda password? Perchè mi sembra in caso
> negativo che il livello di protezione è piuttosto basso, e inoltre non
> riesco a spiegarmi che senso avrebbe introdurre solo 3 cifre riducendo le
> combinazioni possibili a 1000 tentativi!

Le combinazioni possibili sono sempre le stesse, 10^10, perchè le 3
cifre richieste sono in posizioni diverse ogni volta.
Il grosso pregio di chiederne solo 3 è di rendere inutili i keylogger,
ossia quegli strumenti software che archiviano tutto ciò che viene
premuto sulla tastiera.
Io, ad esempio, sviluppo software, e uno dei miei prodotti più
'simpatici', pur essendo dimensionalmente piccolo, è una specie di
antivirus per alberghi. Se sulla tastiera viene digitato, mentre si è
in una schermata di un gestionale o di un software a propria scelta, un
cognome di una persona inserita in un database di fugaioli (quelli che
al mattino sono spariti dall'albergo), appare l'allarme e viene
richiesto di specificare altri dati anagrafici.
Se io fossi un poco di buono, ci metterei un secondo a modificare il
software per monitorare Internet Explorer, accendendo l'archiviatore
quando si digita un nome di una banca, e inviando poi ad un mio server
i caratteri digitati, all'interno dei quali con un po' di occhio
sarebbe facile individuare i codici di accesso.
Chiedendo solo 3 cifre a caso, il tutto sarebbe inutile.

Aggiungiamo, comunque, che da Santander puoi bonificare solo verso uno
dei conti specificati, e non verso chiunque.

Ciao

Nikkei

Ringrazio tutti per le risposte.

Vorrei solo sottolineare che il meccanismo del richiedere tre cifre a caso
era (è?) presente anche per Intesa Telephone Banking, ma poi era necessario
introdurre un'ulteriore chiave dipositiva valida solo una volta: nel caso
di Santander il meccanismo di accesso mi sembra piuttosto debole in quanto
le probabilità di accesso sono di uno a mille (conoscendo anche il nome
utente relativamente facile da reperire) cosa che è più unica che rara
per un'istutuzione finanziaria. Va bene per i keyloggers, ma se proprio
volevano implementare quel meccanismo dovevano portare le cifre almeno a
p.es. a 5 su 12 o implementare pwd di secondo livello.

"Stefano P." <nonvalido@invalido.com> ha scritto nel messaggio
news:44f7e04a$1_3@x-privat.org...
> Ringrazio tutti per le risposte.
>
> Vorrei solo sottolineare che il meccanismo del richiedere tre cifre a caso
> era (è?) presente anche per Intesa Telephone Banking, ma poi era
> necessario
> introdurre un'ulteriore chiave dipositiva valida solo una volta: nel caso
> di Santander il meccanismo di accesso mi sembra piuttosto debole in quanto
> le probabilità di accesso sono di uno a mille (conoscendo anche il nome
> utente relativamente facile da reperire) cosa che è più unica che rara
> per un'istutuzione finanziaria. Va bene per i keyloggers, ma se proprio
> volevano implementare quel meccanismo dovevano portare le cifre almeno a
> p.es. a 5 su 12 o implementare pwd di secondo livello.

Condivido, mi sembra una sciocchezza: chiunque può violare non tanto la
nostra sicurezza,
quanto la privacy del cliente

"Stefano P." <nonvalido@invalido.com> ha scritto nel messaggio
news:44f7e04a$1_3@x-privat.org...
> Ringrazio tutti per le risposte.
>
> Vorrei solo sottolineare che il meccanismo del richiedere tre cifre a caso
> era (è?) presente anche per Intesa Telephone Banking, ma poi era
> necessario
> introdurre un'ulteriore chiave dipositiva valida solo una volta: nel caso
> di Santander il meccanismo di accesso mi sembra piuttosto debole in quanto
> le probabilità di accesso sono di uno a mille (conoscendo anche il nome
> utente relativamente facile da reperire) cosa che è più unica che rara
> per un'istutuzione finanziaria. Va bene per i keyloggers, ma se proprio
> volevano implementare quel meccanismo dovevano portare le cifre almeno a
> p.es. a 5 su 12 o implementare pwd di secondo livello.

Condivido, mi sembra una sciocchezza: chiunque può violare non tanto la
sicurezza, quanto la privacy del cliente.

piero ha spiegato il 01/09/2006 :
> "Stefano P." <nonvalido@invalido.com> ha scritto nel messaggio
> news:44f7e04a$1_3@x-privat.org...
>> Ringrazio tutti per le risposte.
>>
>> Vorrei solo sottolineare che il meccanismo del richiedere tre cifre a caso
>> era (è?) presente anche per Intesa Telephone Banking, ma poi era
>> necessario
>> introdurre un'ulteriore chiave dipositiva valida solo una volta: nel caso
>> di Santander il meccanismo di accesso mi sembra piuttosto debole in quanto
>> le probabilità di accesso sono di uno a mille (conoscendo anche il nome
>> utente relativamente facile da reperire) cosa che è più unica che rara
>> per un'istutuzione finanziaria. Va bene per i keyloggers, ma se proprio
>> volevano implementare quel meccanismo dovevano portare le cifre almeno a
>> p.es. a 5 su 12 o implementare pwd di secondo livello.
>
> Condivido, mi sembra una sciocchezza: chiunque può violare non tanto la
> sicurezza, quanto la privacy del cliente.

Messa da parte la sicurezza (che in Santander è garantita dal poter
bonificare solo 'in casa propria', e per altri è garantita dall'uso di
chiavette o di codici a perdere), per quanto riguarda la privacy sono
tutti messi male.
Tanto, per la sola consultazione si basano tutti su User+Pwd, quindi
basta un keylogger, una webcam in ufficio girata nel modo giusto,
un'occhiata furtiva da scrivania a scrivania, e il gioco è fatto.
Forse solo BPVN ha qualcosa di diverso, visto che consegna un floppy
con un certificato p12 da installare in InternetExplorer, e poi serve
comunque User+Pwd.
Se non altro, per accedere occorre anche usare il pc del titolare, e
non solo scoprirne user+pwd.

Ciao

Nikkei

Nikkei wrote:

> Il grosso pregio di chiederne solo 3 è di rendere inutili i keylogger,
> ossia quegli strumenti software che archiviano tutto ciò che viene
> premuto sulla tastiera.

Il grosso difetto invece è che da qualche parte nel sistema
informativo questa password è salvata in chiaro e quindi facilmente
individuabile da malintenzionati...
Nel sistema classico la password viene cifrata in modo tale che non è
più possibile risalire alla password vera e propria....
Francamente mi sembra più sicuro il secondo approcio....

Nikkei wrote:

> Forse solo BPVN ha qualcosa di diverso, visto che consegna un floppy
> con un certificato p12 da installare in InternetExplorer, e poi serve
> comunque User+Pwd.
> Se non altro, per accedere occorre anche usare il pc del titolare, e
> non solo scoprirne user+pwd.

La procedura diventa un filo complicata.... sai che gli ultimi PC
venduti sono sprovvisti di floppy?
Secondo me l'attuale situazione è un buon compromesso tra sicurezza e
facilità d'uso che è altrettanto importante della sicurezza.

matteooooo ha pensato forte :
> Nikkei wrote:
>
>> Il grosso pregio di chiederne solo 3 è di rendere inutili i keylogger,
>> ossia quegli strumenti software che archiviano tutto ciò che viene
>> premuto sulla tastiera.
>
> Il grosso difetto invece è che da qualche parte nel sistema
> informativo questa password è salvata in chiaro e quindi facilmente
> individuabile da malintenzionati...

Non capisco come faccia il sistema client a conoscere l'intera
password, se non è mai stata digitata per intero.

> Nel sistema classico la password viene cifrata in modo tale che non è
> più possibile risalire alla password vera e propria....
> Francamente mi sembra più sicuro il secondo approcio....

Non ti seguo proprio.
Se io digito la password, ad esempio 1234567, un keylogger ha
registrato questa cosa. E se il keylogger è furbo, si attiva solo
quando si sta lavorando in IE su una pagina con un link ben definito,
che è appunto quello di una banca. Al che il titolare digita ABCDE
(user) e 1234567 (pwd), e il keylogger deve inviare all'hacker di turno
una sequenza di pochi byte, ben mascherabile in un link http, e quindi
non bloccabile da alcun tipo di firewall (visto che si consente
all'utente di navigare su internet, un GET http contenente all'interno
una sequenza di 20 caratteri è del tutto lecito).

Se, invece, digito solo 257, l'hacker non se ne fa praticamente niente.

Ciao

Nikkei

Il Fri, 1 Sep 2006 01:14:47 +0200, "PonnFarr" <nomail@nowhere.com> ha
scritto:


>
>Il massimo della sicurezza, a mio parere, a tutt'oggi è la chiavetta di
>Unicredit: genera passwords a 7 cifre che cambiano ogni 60 secondi e servono per
>le operazioni dispositive, cioè quando il denaro deve uscire dal conto corrente.
>In giro non vedo nulla di meglio.
>
>
Non sono un esperto di sicurezza, anzi ne sò molto poco, per cui mi
fido di quanto dici ma devo obiettare che quella chiave in fase
dispositiva ti viene chiesta solo quando superi cifre di un certo
livello, livello abbastanza elevato per la verità. Io preferirei che
la chiedessero sempre ma se hanno deciso così evidentemente si sento
sicuri.

Nikkei wrote:

>
> Se, invece, digito solo 257, l'hacker non se ne fa praticamente niente.
>

la maggior parte dei furti di questo genere avviene all'interno della
banca stessa non da fuori....

matteooooo ha detto questo venerdì :
> Nikkei wrote:
>
>> Forse solo BPVN ha qualcosa di diverso, visto che consegna un floppy
>> con un certificato p12 da installare in InternetExplorer, e poi serve
>> comunque User+Pwd.
>> Se non altro, per accedere occorre anche usare il pc del titolare, e
>> non solo scoprirne user+pwd.
>
> La procedura diventa un filo complicata.... sai che gli ultimi PC
> venduti sono sprovvisti di floppy?

Certo, ho detto floppy per dire, ma ti danno anche la chiavetta USB, e
comunque puoi sempre spostare il certificato da floppy a chiavetta o in
rete, con un altro pc della LAN che abbia un floppy.


> Secondo me l'attuale situazione è un buon compromesso tra sicurezza e
> facilità d'uso che è altrettanto importante della sicurezza.

Quale 'situazione attuale'?

Guarda, io ho sia Unicredit (e quindi ho la chiavettina a codici
rotanti), sia BPVN (e quindi ho il certificato p12 nel PC), sia
Santander (con le 3 cifre a caso), sia BanceGenerali (che ha la
password dispositiva di secondo livello).

Quando vado via e so che potrò dover operare, devo necessariamente
portarmi dietro il fogliettino con i codici (non posso ricordarli
tutti). Devo anche portarmi dietro la chiavetta di Unicredit. E devo
anche portarmi dietro il PC.

Se mi fregano tutto (PC, chiavetta e codici), l'unico che mi garantisce
un minimo di sicurezza è Santander, perchè i soldi potranno anche
partire da lì, ma arrivano sul CC ordinario quando ho già bloccato
tutto. Gli altri sono fottuti.
Se mi fregano solo i codici, BancaGenerali è fottuto.
Se mi fregano codici e PC, è fottuto BPVN (beh, occorre anche bucare
NTFS, ma non è impossibile).
Se mi fregano codici e chiavettina, Unicredit è fottuto.

Dal punto di vista della praticità, BPVN è il migliore (per il mio
stile di vita). Avendo codici alfanumerici, li memorizzo meglio. E
siccome non mi muovo mai senza PC, il certificato è con me.
Unicredit ha il vantaggio di poter operare anche da pc di altri (in un
internet point all'estero, ad esempio).
BancaGenerali ha dei codici numerici lunghissimi, e non riesco a
memorizzarli, quindi dovrei comunque avere con me il foglietto.

Ciao

Nikkei

"Nikkei" <vaccariTOGLI@hotmail.com> ha scritto nel messaggio
news:mn.0a677d69608b5dc0.58073@hotmail.com...

> piero ha spiegato il 01/09/2006 :

>> "Stefano P." <nonvalido@invalido.com> ha scritto nel messaggio

>>> Ringrazio tutti per le risposte.
>>>
>>> Vorrei solo sottolineare che il meccanismo del richiedere tre cifre a
>>> caso
>>> era (è?) presente anche per Intesa Telephone Banking, ma poi era
>>> necessario
>>> introdurre un'ulteriore chiave dipositiva valida solo una volta: nel
>>> caso
>>> di Santander il meccanismo di accesso mi sembra piuttosto debole in
>>> quanto
>>> le probabilità di accesso sono di uno a mille (conoscendo anche il nome
>>> utente relativamente facile da reperire) cosa che è più unica che rara
>>> per un'istutuzione finanziaria. Va bene per i keyloggers, ma se proprio
>>> volevano implementare quel meccanismo dovevano portare le cifre almeno a
>>> p.es. a 5 su 12 o implementare pwd di secondo livello.
>>
>> Condivido, mi sembra una sciocchezza: chiunque può violare non tanto la
>> sicurezza, quanto la privacy del cliente.

> Tanto, per la sola consultazione si basano tutti su User+Pwd, quindi basta
> un keylogger, una webcam in ufficio girata nel modo giusto, un'occhiata
> furtiva da scrivania a scrivania, e il gioco è fatto.

Scusa, ma secondo me chi usa la proprie pw in ufficio su computer di terzi
commette già di partenza una leggerezza.

piero ha usato la sua tastiera per scrivere :
> Scusa, ma secondo me chi usa la proprie pw in ufficio su computer di terzi
> commette già di partenza una leggerezza.

Potrei concordare.
Ma se il 90% delle operazioni si fa in orario d'ufficio, non vedo molte
alternative...

Nikkei

"Nikkei" <vaccariTOGLI@hotmail.com> ha scritto nel messaggio
news:mn.0a877d69555f6e88.58073@hotmail.com...
> piero ha usato la sua tastiera per scrivere :
>> Scusa, ma secondo me chi usa la proprie pw in ufficio su computer di
>> terzi
>> commette già di partenza una leggerezza.
>
> Potrei concordare.
> Ma se il 90% delle operazioni si fa in orario d'ufficio, non vedo molte
> alternative...

In orario di ufficio non significa necessariamente dall'ufficio e con pc di
terzi.

"matteooooo" <matteotemp-google@yahoo.it> ha scritto nel messaggio
news:1157090604.647576.252230@b28g2000cwb.googlegr oups.com...

Gabriele wrote:

> Se anche quei fanfaroni obsoleti del san paolo -intesa etc ... si
> inventassero queste cose sicure , ci sarebbero
> meno pensionati con il conto svuotato dai rumeni.

Penso che la casistica di conti online

parlavo dei conti in filiale e dei bancomat .

Gabriele wrote:

> parlavo dei conti in filiale e dei bancomat .

non si capiva :-)))

Il Fri, 01 Sep 2006 10:35:55 +0200, Nikkei ha scritto:
> matteooooo ha pensato forte :
>> Nikkei wrote:
>>
>>> Il grosso pregio di chiederne solo 3 è di rendere inutili i keylogger,
>>> ossia quegli strumenti software che archiviano tutto ciò che viene
>>> premuto sulla tastiera.
>>
>> Il grosso difetto invece è che da qualche parte nel sistema
>> informativo questa password è salvata in chiaro e quindi facilmente
>> individuabile da malintenzionati...
>
> Non capisco come faccia il sistema client a conoscere l'intera
> password, se non è mai stata digitata per intero.

Infatti non si parla del client, ma del server.
Se puoi poter mettere delle cifre casuali, vuol dire che nel server è
memorizzata la tua password in chiaro, così com'è.

Quello che si fa di solito invece è non memorizzare MAI le passowrd in
chiaro, ma criptarle con un algoritmo irreversibile. Quando un utente
inserisce la password, viene anch'essa criptata con lo stesso algoritmo e
confrontata con quella memorizzata.
Se anche riuscisse ad accedere al database delle password (criptate), non
saprebbe che farsene: dalla password criptata non esistono algoritmi per
risalire alla password originale.

Carlo.

Il Fri, 01 Sep 2006 09:06:31 +0200, Nikkei ha scritto:
> Le combinazioni possibili sono sempre le stesse, 10^10, perchè le 3
> cifre richieste sono in posizioni diverse ogni volta.
> Il grosso pregio di chiederne solo 3 è di rendere inutili i keylogger,
> ossia quegli strumenti software che archiviano tutto ciò che viene
> premuto sulla tastiera.

Come dicevo in un altro post, chiedere solo 3 cifre implica la
memorizzazione sul server della password in chiaro.

Per rendere inutili i keylogger invece basterebbe, come ha fatto qualcuno,
fare inserire la password non tramite password, ma cliccando dei tasti su
una tastiera disegnata a schermo. E' una soluzione semplice ma utile.
Per mettere fuori uso anche ipotetici mouse-logger, che intercetterebbero i
punti dei click, basterebbe far saltar fuori la tastiera con i numeri
ordinati a caso.

L'unico problema è che non ti mette al sicuro da telecamere o spioni :-)

Carlo.

Carlone wrote:

>
> Come dicevo in un altro post, chiedere solo 3 cifre implica la
> memorizzazione sul server della password in chiaro.

Questa è una considerazione interessante... e inquietante...

mmh, in alternativa la soluzione più immediata è memorizzare tutte le
immagini crittate delle sottopassword, cioè le combinazioni di 10
elementi di classe 3, quindi 120 record...




>
> Per rendere inutili i keylogger invece basterebbe, come ha fatto qualcuno,
> fare inserire la password non tramite password, ma cliccando dei tasti su
> una tastiera disegnata a schermo.


È la soluzione adottata da ContoArancio, tastiera disegnata con
disposizione casuale dei numeri.


Ciao, Aladar ^_^

"Gabriele" <ola@virgilio.it> ha scritto nel messaggio
news:ed8sss$5l3$1@nnrp-beta.newsland.it...
>
> parlavo dei conti in filiale e dei bancomat .

I Bancomat... anche qui uno se la cerca: la prossima volta che vai al
supermercato guarda in quanti si prendono la briga di coprire la tastiera del
POS quando digitano le 5 cifre del PIN in modo che gli astanti non possano
vederlo.
Nessuno.

Lo stesso dicasi per i prelievi allo sportello: tutti lì con l'indice ben in
vista a digitare i 5 numeri magici.

Chi soffre per il suo mal...

"Ergo" <xx@yy.it> ha scritto nel messaggio
news:easff2d19itca41rhfej6nk5thqlirkbcn@4ax.com...
>
> Non sono un esperto di sicurezza, anzi ne sò molto poco, per cui mi
> fido di quanto dici ma devo obiettare che quella chiave in fase
> dispositiva ti viene chiesta solo quando superi cifre di un certo
> livello, livello abbastanza elevato per la verità. Io preferirei che
> la chiedessero sempre ma se hanno deciso così evidentemente si sento
> sicuri.

Hai ragione.
In effetti in Unicredit esistono delle soglie; sul mio conto viene chiesta la
password del badge per importi superiori ai 2.500 euro, ma so che su certi conti
la soglia arriva a 10.000.
Ho chiesto al mio client manager se sia possibile abbassare tale soglia fino a
zero (esattamente come per la carta di credito se ci si registra sul sito
CartaSi) e mi è stato detto che questa possibilità sarà implementata a breve,
quando la piattaforma di home banking Unicredit sarà rinnovata.

Spero che facciano in fretta, starò molto più tranquillo quando mi sarà chiesta
la password anche per movimentare un solo centesimo.

"Nikkei" <vaccariTOGLI@hotmail.com> ha scritto nel messaggio
news:mn.0a877d69555f6e88.58073@hotmail.com...
>
> Potrei concordare.
> Ma se il 90% delle operazioni si fa in orario d'ufficio, non vedo molte
> alternative...
>
> Nikkei

Bè, se uno accede al suo conto online dall'ufficio e dal PC dell'ufficio
verosimilmente controllato da un Amministratore di Sistema un po'... come dire,
sprovveduto, dev'esserlo per forza.

Ormai abbiamo tutti un PC a casa, se non l'abbiamo è da pazzi aprire un conto
online per operarci dall'ufficio... o anche da un Internet Point, come ho visto
fare in Spagna: un italiano che controllava il suo estratto conto su Banca
Mediolanum da un Internet Point!!!

Il detto '' Il denaro ha la tendenza innata ad allontanarsi dagli stupidi" deve
avere qualche fondamento...

Nel suo scritto precedente, PonnFarr ha sostenuto :
> Bè, se uno accede al suo conto online dall'ufficio e dal PC dell'ufficio
> verosimilmente controllato da un Amministratore di Sistema un po'... come
> dire, sprovveduto, dev'esserlo per forza.
>
> Ormai abbiamo tutti un PC a casa, se non l'abbiamo è da pazzi aprire un conto
> online per operarci dall'ufficio...

Visto che il trading on-line si fa principalmente di giorno, e che la
gente in quegli orari è in ufficio, direi che allora di pazzi ce ne
sono tanti.

Il Fri, 1 Sep 2006 16:53:09 +0200, "PonnFarr" <nomail@nowhere.com> ha
scritto:

>Spero che facciano in fretta, starò molto più tranquillo quando mi sarà chiesta
>la password anche per movimentare un solo centesimo.

Se a Chanel n.5 non viene in mente qualche altro accorpamento ( io
sarei pronto a scommetterci che ce l'abbia già nel cassetto) penso che
in un annetto ci arriveranno.

Ora come ora sono troppo infognati nel mettere a punto il nuovo
assetto nell'ambito del quale la questione informatica è ai primi
posti dopo quella linguistica ( operano in 19 paesi ed oltre 25
lingue)

A volte danno l'idea di essere lenti, farraginosi e sorpassati ma chi
li conosce sa che in questo momento non c'è nessuno, ma proprio
nessuno, che corre come loro.

Anch'io cmq la penso come te ma credo che dovremo avere pazienza e
fiducia.

Il Fri, 1 Sep 2006 17:02:59 +0200, "PonnFarr" <nomail@nowhere.com> ha
scritto:


>Il detto '' Il denaro ha la tendenza innata ad allontanarsi dagli stupidi" deve
>avere qualche fondamento...

sicuramente, basta vedere che poca fatica faccia ad allontanarsi.

> > Per rendere inutili i keylogger invece basterebbe, come ha fatto qualcuno,
> > fare inserire la password non tramite password, ma cliccando dei tasti su
> > una tastiera disegnata a schermo.
>
>
> È la soluzione adottata da ContoArancio, tastiera disegnata con
> disposizione casuale dei numeri.
>
Lo fa anche ill Credito Valtellinese, ma come soluzione non mi sembra
geniale: accanto ai keylogger esistono altri programmini, della classe
VNC (tightvnc, ultravnc ed altri) che io uso quotidianamente (per scopi
leciti, intendiamoci) e riportano sul proprio PC , denominato viewer,
la videata completa, con tanto di cursori, del PC denominato server.
Tra l' altro permettono di operare sul PC locale esattamente come si
fosse seduti davanti al remoto, mouse e tastiera compresi.
Sono leggeri, pratici ed installabili con la stessa facilità dei
keyloggers. Ovviamente questa è la versione pubblica, con tanto di PW,
sicurezze e attivazioni a comando, ma per un hacker riscrivere o anche
solo modificare un programma del genere non è difficile.

>
> Lo stesso dicasi per i prelievi allo sportello: tutti lì con l'indice ben
> in vista a digitare i 5 numeri magici.
>
la sicurezza spetta a chi ti vende il prodotto BANCOMAT .
Tutti i sisteni di pagamento sono troppo vulnerabili , vedi assegni , carte
di credito etc
Una banca mi ha detto che non passano al bancomat con microchip perchè
bisognerebbe modificare migliaia di sportelli , bisogna
prima ammortizzarli , preferiscono farsi una bella assicurazione , tanto i
relativi costi sanno a chi scaricarli ...

Il 1 Sep 2006 10:02:44 -0700, romyr ha scritto:
> Lo fa anche ill Credito Valtellinese, ma come soluzione non mi sembra
> geniale: accanto ai keylogger esistono altri programmini, della classe
[cut]
> solo modificare un programma del genere non è difficile.

Certo, però a questo punto anche la soluzione dei 3 numeri su 10 diventa
facilmente vulnerabile dopo una manciata di accessi.. (se ti va bene, o
male a seconda dei punti di vista, dopo appena quattro accessi)

Carlo.

"Gabriele" <bed11@yahoo.com> ha scritto nel messaggio
news:44f86948$0$15862$4fafbaef@reader2.news.tin.it ...
>
> la sicurezza spetta a chi ti vende il prodotto BANCOMAT .
> Tutti i sisteni di pagamento sono troppo vulnerabili , vedi assegni , carte di
> credito etc
> Una banca mi ha detto che non passano al bancomat con microchip perchè
> bisognerebbe modificare migliaia di sportelli , bisogna
> prima ammortizzarli , preferiscono farsi una bella assicurazione , tanto i
> relativi costi sanno a chi scaricarli ...

Questo è vero, ma non esime chi usa la tessera Bancomat dal farlo con prudenza.

Lasceresti le chiavi di casa sulla porta quando esci, o le darestio a chiunque?
Immagino di no; lo stesso discorso vale per il PIN del Bancomat.
Io copro sempre la tastiera quando digito il PIN allo sportello Bancomat o sui
POS in modo che nessuno veda che numero compongo, se facessimo tutti così a mio
parere le frodi sarebbero assai più difficili.

Il 1 Sep 2006 06:37:40 -0700, Aladar ha scritto:
> mmh, in alternativa la soluzione più immediata è memorizzare tutte le
> immagini crittate delle sottopassword, cioè le combinazioni di 10
> elementi di classe 3, quindi 120 record...

Ci stavo pensando mentre lo scrivevo..

Non ho mai visto questo sistema all'opera.. ti chiede 3 cifre del tuo
codice?
tipo:
codice=1234567890
ti chiede dammi la cifra 1,5,9 e tu devi inserire 159?

In tal caso gli insiemi _ordinati_ di 3 elementi su 10 sono 720, non 120,
poichè sono disposizioni e non combinazioni..
10!/(10-3)!=720
Se poi possono esserci ripetizioni (es dammi la cifra 3, 4 e 4) allora sono
10^3=1000

Ovviamente è fattibile, però devono avere memorizzate 720 password per ogni
utente..

Carlo.

Il Fri, 1 Sep 2006 19:09:34 +0200, Gabriele ha scritto:

>>
>> Lo stesso dicasi per i prelievi allo sportello: tutti lì con l'indice ben
>> in vista a digitare i 5 numeri magici.
>>
> la sicurezza spetta a chi ti vende il prodotto BANCOMAT .
> Tutti i sisteni di pagamento sono troppo vulnerabili , vedi assegni , carte
> di credito etc
> Una banca mi ha detto che non passano al bancomat con microchip perchè
> bisognerebbe modificare migliaia di sportelli , bisogna
> prima ammortizzarli , preferiscono farsi una bella assicurazione , tanto i
> relativi costi sanno a chi scaricarli ...

Certo che siamo qui a parlare di codici a non so quanti bit che cambiano
ogni secondo, ma se andate in uno sportello per un prelievo vi chiedono
solo intestatario, numero di conto e una firmetta!
E' tanto difficile trovarli? Basta che fai un bonifico a qualcuno e sai già
il suo nome e il suo numero.. vedere la sua firma non è poi così difficile,
sempre che venga effettivamente controllata ad ogni prelievo!

Carlo.

> Certo che siamo qui a parlare di codici a non so quanti bit che cambiano
> ogni secondo, ma se andate in uno sportello per un prelievo vi chiedono
> solo intestatario, numero di conto e una firmetta!
scusa che banca hai ?
A me chiedono il documento se non mi riconoscono!

> Io copro sempre la tastiera quando digito il PIN allo sportello Bancomat o
> sui POS in modo che nessuno veda che numero compongo, se facessimo tutti
> così a mio parere le frodi sarebbero assai più difficili.


senza banda magnetica non se fanno niente del pin !

"Carlone" <blaze@people.it> ha scritto nel messaggio
news:17lvvah9xaisq$.1jgh161n5xj8n$.dlg@40tude.net. ..
> Non ho mai visto questo sistema all'opera.. ti chiede 3 cifre del tuo
> codice?
> tipo:
> codice=1234567890
> ti chiede dammi la cifra 1,5,9 e tu devi inserire 159?
>
> In tal caso gli insiemi _ordinati_ di 3 elementi su 10 sono 720, non 120,
> poichè sono disposizioni e non combinazioni..

Andando sul sito della Santander, si può vedere che la schermata di accesso
al conto è questa:
http://img445.imageshack.us/img445/1273/santlq2.jpg
I sottoinsiemi di 3 elementi, cioè le posizioni nel codice, non sono
ordinati, infatti l'utente può immettere nell'ordine che vuole le tre cifre,
ma quando clicca su 'login' queste vengono inviate in blocco. In altre
parole, nell'immagine vengono richieste le cifre di posizione 1, 3, 9, e
basta aver memorizzato la password relativa all'insieme {1,3,9}.
A questo punto, le password da memorizzare sono solo 36.

"oldbeng" <old@one.it> ha scritto nel messaggio
news:44f87a87$0$47955$4fafbaef@reader3.news.tin.it ...
> A questo punto, le password da memorizzare sono solo 36.
Ooops, volevo dire 120.

"PonnFarr" <nomail@nowhere.com>:
>Ormai abbiamo tutti un PC a casa, se non l'abbiamo è da pazzi aprire un
>conto online per operarci dall'ufficio... o anche da un Internet Point,
>come ho visto fare in Spagna: un italiano che controllava il suo
>estratto conto su Banca Mediolanum da un Internet Point!!!

Qual è la probabilità che sul tuo computer a casa ci sia instalato, a
tua insaputa, un registratore delle pressioni dei tasti?

E qual è la probabilità di capitare in un internet point truffaldino che
installa sui suoi computer dei programmi per la registrazione della
pressione dei tasti?

Secondo me le probabilità si equivalgono. Tu cosa ne pensi?

Il grosso difetto invece è che da qualche parte nel sistema
informativo questa password è salvata in chiaro e quindi facilmente
individuabile da malintenzionati...
Nel sistema classico la password viene cifrata in modo tale che non è
più possibile risalire alla password vera e propria....



Cioè quando ti fanno digitare l'intera pwd , sul server della banca non c'è
in chiaro tale pwd ma solo la forma criptata ?
mentre quendo ti fanno digitare solo 3 cifre ( es. santander ) della pwd
sono costretti a tenere la pwd in chiaro su tale server per
fare il confronto con le cifre digitate ?

"Gabriele" <bed11@yahoo.com> ha scritto nel messaggio
news:44f87676$0$15869$4fafbaef@reader2.news.tin.it ...
>
> senza banda magnetica non se fanno niente del pin !

Certo, ma con gli skimmer si copiano i dati contenuti nella banda magnetica e si
clona la carta, dopodichè serve il PIN... che viene o ripreso con la microcamera
installata sugli sportelli Bancomat adeguatamente modificati, o viene
memorizzata dal "compare" che osserva attentamente chi digita il PIN mentre
esegue un pagamento.

In ogni caso, per come la vedo io è il PIN che dev'essere protetto: copiare la
banda magnetica è semplicissimo.

"Francesco Potorti" <pot@potorti.it> ha scritto nel messaggio
news:87wt8nkzpy.fsf@tucano.isti.cnr.it...
>
> Qual è la probabilità che sul tuo computer a casa ci sia instalato, a
> tua insaputa, un registratore delle pressioni dei tasti?

Teoricamente è possibile, ma siccome il mio PC lo uso solo io, è protetto con un
antivirus sempre aggiornato, da un firewall di cui controllo la configurazione e
i programmi autorizzati ad accedere al web almeno una volta alla settimana e sul
quale eseguo regolari scansioni per cercare spyware e programmi simili, direi
che la possibilità di avere un keylogger installato a mia insaputa siano
piuttosto remote.


> E qual è la probabilità di capitare in un internet point truffaldino che
> installa sui suoi computer dei programmi per la registrazione della
> pressione dei tasti?

Le probabilità sono elevatissime, a meno che tu non voglia sostenere che
metteresti la mano sul fuoco per dimostrare che sei certo dell'onestà di uno
sconosciuto che gestisce un Internet Point al punto di accedere al tuo home
banking da uno di quei PC.


> Secondo me le probabilità si equivalgono. Tu cosa ne pensi?

Esattamente il contrario.
Non nego che il mio PC, come ogni PC che accede a Internet, possa essere
violato, ma affermare che le probabilità si equivalgono mi pare piuttosto
ardito.

> Le probabilità sono elevatissime, a meno che tu non voglia sostenere che
> metteresti la mano sul fuoco per dimostrare che sei certo dell'onestà di uno
> sconosciuto che gestisce un Internet Point al punto di accedere al tuo home
> banking da uno di quei PC.
>
>
> > Secondo me le probabilità si equivalgono. Tu cosa ne pensi?
>
> Esattamente il contrario.
> Non nego che il mio PC, come ogni PC che accede a Internet, possa essere
> violato, ma affermare che le probabilità si equivalgono mi pare piuttosto
> ardito.

Concordo con Ponn Farr.
Se poi prendiamo un esempio di gran lunga meno redditizio e molto più
complicato da ottenere, come quello dei videopoker a telecomando, è
facile rendersi conto come "truccare" un PC in un internet point è un
gioco da ragazzi.

"romyr" <romyr@hotmail.it> ha scritto nel messaggio
news:1157180318.851185.258970@i42g2000cwa.googlegr oups.com...
>
> Concordo con Ponn Farr.
> Se poi prendiamo un esempio di gran lunga meno redditizio e
> molto più complicato da ottenere, come quello dei videopoker
> a telecomando, è facile rendersi conto come "truccare" un PC
> in un internet point è un gioco da ragazzi.

Aggiungo che quand'anche il gestore fosse onesto, possono essere degli utenti
disonesti a installare spyware e quant'altro.

Le licenze e gli aggiornamenti per i software di protezione costano e in un
Internet Point con 20 - 30 PC tali costi si moltiplicano.
Per di più, dato il basso livello di cultura informatica che hanno molti gestori
di Internet Point, in molti casi i PC sono configurati in modo tale che
qualunque utente può modificarne le configurazioni con i privilegi di
Amministratore di Sistema e installare tutto ciò che crede e che può stare su
una comoda chiavetta USB.

Buona fine settimana al Newsgroup.

Gabriele wrote:

>
> Cioè quando ti fanno digitare l'intera pwd , sul server della banca non c'è
> in chiaro tale pwd ma solo la forma criptata ?

se il sistema non è fatto con il culo, si.

Ciao
Matteo

>>
>> Cioè quando ti fanno digitare l'intera pwd , sul server della banca non
>> c'è in chiaro tale pwd ma solo la forma criptata ?
>
> se il sistema non è fatto con il culo, si.

si , questo lo sapevo , perchè usano l'hash della pwd , per cui neppure in
banca sanno la tua vera pwd , perchè confrontano
due spezzatini di hash creati con l'algoritmo e le chiavi che usi per
inviare la pwd .
Quello che non sapevo è che chiedendo solo una parte della pwd , si perde
tale sicurezza !

Carlone wrote:

>
> Non ho mai visto questo sistema all'opera.. ti chiede 3 cifre del tuo
> codice?
> tipo:
> codice=1234567890
> ti chiede dammi la cifra 1,5,9 e tu devi inserire 159?
>

Sì

> In tal caso gli insiemi _ordinati_ di 3 elementi su 10 sono 720, non 120,
> poichè sono disposizioni e non combinazioni..
> 10!/(10-3)!=720

No, perchè ti chiede le cifre 1,5,9 e non gli altri 5 ordinamenti
1,9,5,
5,1,9
5,9,1
9,1,5
9,5,1
quindi l'ordine non è importante

Quindi sono 720 / 6 = 120 cioè le combinazioni

Ciao, Aladar ^_^

oldbeng wrote:
> "oldbeng" <old@one.it> ha scritto nel messaggio
> news:44f87a87$0$47955$4fafbaef@reader3.news.tin.it ...
> > A questo punto, le password da memorizzare sono solo 36.
> Ooops, volevo dire 120.

Sì, 120 ;-)

^_^