di  -  giovedì 24 Aprile 2008

o-key intesa sanpaolo Cresce il numero di istituti di credito che, probabilmente anche per contrastare il pericoloso fenomeno del phishing, adottano sistemi di sicurezza tramite password generate dinamicamente. È il caso, ad esempio dell’istituto Intesa Sanpaolo, che ha adottato il sistema Digipass della Vasco. Ecco come funziona.

Ad ogni cliente viene consegnato un generatore di codici personale, dalla forma e dimensioni simile ad una chiavetta usb; questa chiavetta produce un codice numerico diverso ogni volta che viene premuto l’unico pulsante presente su di esso. Il codice viene visualizzato per circa sedici secondi sul display.

Ad ogni accesso quindi l’utente utilizzerà un codice generato dinamicamente, sempre diverso, da abbinare al proprio codice cliente e pin di accesso al servizio di home banking.

Lo svantaggio consiste nel doversi portare appresso questa specie di chiavetta usb, ma in fondo è un sacrificio trascurabile, a confronto con l’oggettivo miglioramento del livello di sicurezza.

Ho provato il servizio e sembra funzionare, e personalmente apprezzo la semplificazione prodotta nell’utilizzo dei servizi di home banking. In precedenza erano necessari oltre al codice cliente e password di accesso, una ulteriore password dispositiva, ed una serie di codici segreti, forniti su schede tipo gratta e vinci. Ogni operazione richiedeva almeno quattro passaggi di verifica password, mentre questo nuovo sistema è decisamente più semplice ed al tempo stesso più sicuro.

Nonostante questo, una buona dose di prudenza viene utilizzata nel presentare il servizio, perché si sa, cambiare le abitudini è sempre qualcosa che crea stress e turbamento.

20 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    Paganetor
     scrive: 

    boh, io (con Fineco) ho un nome utente, una password per visualizzare tuti i dati del mio conto e una ulteriore password per effettuare le disposizioni…

    ah, il sistema antiphishing ce l’ho installato in mezzo alle orecchie :D

  • # 2
    Ilruz
     scrive: 

    Immagino che la tua banca abbia, come tutte le altre banche che hanno servizi simili da saecola saecolorum, un pin privato da inserire prima del codice rsa … altrimenti se ti fregano quella chiavetta sei finito :D

    Tennologia avanzata.

  • # 3
    Markingegno (Autore del post)
     scrive: 

    ahah.. purtroppo *quel* sistema antiphishing non e’ di serie ;)

  • # 4
    matic
     scrive: 

    Spero bene che l’O-Key di Intesasanpaolo sia sicuro perchè la password di sole 5 cifre legata al codice utente la cracca anche il mio nipotino in 12 secondi netti…

  • # 5
    dab
     scrive: 

    @Paganetor

    Il sistema anti-phishing che hai installato in mezzo alle orecchie é un sw di cui ben pochi sono dotati (ho lavorato per intesa san paolo e so quanti frodi bancarie si sono beccati i clienti col phishing)..ma poiché le banche ambiscono agli euri anche di costoro, perché non dotarli di uno strumento che rimpiazzi un pezzo di materia grigia?

  • # 6
    michele
     scrive: 

    anche l’unicredit da uno strumento simile, con una chiave che per 5 anni genera codici di 6 cifre ogni sessanta secondi. secondo me è uno strumento valido per contrastare il phishing, ma non eccezionale. Diciamo che come già detto il migliore software anti-virus, anti-spyware, anti-phishing dovrebbe essere installato in mezzo alle orecchie.
    ma è comunque una bella semplificazione, rispetto alle carte con i 40 codici da grattare…

  • # 7
    CereS
     scrive: 

    Io ho un conto in UniCredit e sono ormai 2 anni che ho questo tipo di chiavetta.

    Per accedere al conto devo digitare un codice cliente e un pin che posso cambiare a piacimento, in seguito per effettuare qualunque tipo di movimento, anche solo di 1€, devo inserire il codice RSA.

    Prima della chiavetta avevo una card con 40 password.

    Visto che sono almeno 4 anni che la mia banca adotta questo sistema di sicurezza ed ero abbastanza convinto che tutte le altre facessero altrettanto mi sono sempre chiesto a che può servire rubare i dati di accesso…

    In ogni caso solo l’ultimo dei cretini può digitare i suoi dati seguendo i link riportati da una mail scritta da un troglodita…

  • # 8
    barba
     scrive: 

    Non mi convince tanto, correggetemi se baglio, ma un dispositivo che genera password bisogna che lo faccia per mezzo di un algoritmo.
    Una volta scoperto l’algoritmo ho la chiave di accesso a tutti i conti? Non funziona come per i crack dei giochini?
    Non basta creare un keygen e via?
    Non so certo come si potrà risalire all’algoritmo, ma in teoria non dovrebbe essere più complicato che risalire alla mia password…
    Sbaglio?

  • # 9
    CereS
     scrive: 

    Risalire all’algoritmo non credo sia impossibile, il problema è che ad ogni chiavetta è associata una chiave a 512bit.

    Ergo una volta recuperato l’algoritmo bisogna anche avere la chiave per poter generare dei numeri validi.

    In soldoni se vuoi accedere al mio conto devi prima recuperare i miei dati di accesso, entrare, controllare il mio indirizzo, fare irruzione in casa mia, nel caso io sia presente schivare una raffica di piombo, tramortirmi e trovare dove ho nascosto la chiave…

  • # 10
    BrightSoul
     scrive: 

    @barba
    Ciascun dispositivo contiene un certificato unico, quindi le password che genera non possono essere usate per accedere ad altre utenze.

    Anche Banca Sella e IWBank adottano queste contromisure, personalmente mi sento in una botte di ferro.

  • # 11
    CereS
     scrive: 

    http://en.wikipedia.org/wiki/SecurID

    Questo articolo spiega il funzionamento delle chiavette della RSA (quelle di UniCredit, ma funzionano tutte in modo simile)

  • # 12
    ClaudioBG
     scrive: 

    Aggiungo che la O-Key non è affatto una novità, ma c’è da (credo) almeno un paio d’anni! La novità è che prima si poteva usare in modo facoltativo, mentre ora è OBBLIGATORIO usarla per accedere ai servizi online di Intesa-Sanpaolo! ;-)

  • # 13
    Jackari
     scrive: 

    la sicurezza auementa a dismisura
    pensate che da uando c’è in nuovo sito
    banca intesa-sanpaolo
    nemmeno io riesco ad entrare nel mio conto
    :)

  • # 14
    matic
     scrive: 

    Neanche io ci riuscivo, era perchè avevo personalizzato la password con un numero di più di 5 cifre mentre il sistema ne accetta, appunto, solo 5. Mi sono sentito un po’ idiota ma è sempre meglio che sentirsi intelligente con il conto corrente svuotato… :)

  • # 15
    Max
     scrive: 

    Domanda ? 6 cifre corrispondono a 999.999 combinazioni …
    Quante sono le probabilità di indovinare una chiave a caso ?
    Ovvero, quante saranno le combinazioni utili,
    visto che si parla di un utilizzo di 5 anni !

  • # 16
    luca
     scrive: 

    La o-key presenta un codice diverso ogni 15/30 secondi.
    questo significa che un certo codice resta valido per, appunto, pochi secondi, e poi non e’ piu’ valido.
    Cio’ vuol dire che nella chiavetta c’e’ un orologio che sa quale codice presentare ad ogni momento.
    Infatti, se chiedo un codice adesso, e lo uso fra un’ora, tale codice non e’ piu’ valido.
    Ovviamente, il server della banca deve accettare tutti i codici generati dalla o-key all’interno di un range di 2/3 minuti, sia perche’ potrei essere lento ad inserirli, sia per problemi di de-sincro fra l’orologio interno della chiave e l’orologio del server.

    Mi chiedo se all’interno della chiave ci sia un ricevitore di clock (tipo gli orologi sincronizzati radio) o se si fidano di una precisione di un semplice quarzo.

    Se invece (ma penso di no) nella chiavetta non c’e’ un orologio… allora la chiave genera dei semplici codici che valgono in ogni momento, e allora questi saranno n codici validi su un totale di un milione di codici… il che la renderebbe davvero poco sicura.

    Faro’ delle prove.. chiedendo un codice alla chiave e usandolo dopo 1, 2, 5, 10 minuti… per capire quant’e’ il range di validita’.

    Ad ogni modo, la mia opinione e’ che la o-key e’ una grandissima stronzata. Obbligare un cliente a portarsi dietro una robetta ingombrante e’ un’imposizione non da poco.
    Preferivo che fosse facoltativa, e preferivo piuttosto poter scegliere di avere piuttosto una password di 50 caratteri (nel cervello, che e’ una cosa che non posso dimenticare di portar con me) piuttosto che preoccuparmi di legarmi al dito un cazzillo verde.

    Facoltativa: se voglio sicurezza, uso la o-key. Se accetto una sicurezza ragionata da me, uso una password complessa scelta da me.

    in ogni caso, la mia banca ha obbligato la o-key, e io ho cambiato banca. Ora uso Fineco.

    ciao a tutti

  • # 17
    biffuz
     scrive: 

    Lo usa anche la Blizzard per World of Warcraft, è opzionale e costa 6 euro, spedizione gratuita e c’è anche in versione software per alcuni smartphone.

    E’ un sistema di protezione spaventosamente efficace per quello che costa, sia in termini economici che di fastidio, e sono contento di usarlo. Chi lo critica non ha ben capito né il problema né la complessità delle soluzioni. Affermare di avere un sistema anti-phishing in mezzo alle orecchie significa essere ignoranti in materia di sicurezza informatica; non c’è solo il phishing e la complessità degli attacchi aumenta ogni giorno.

    L’unico modo per eludere questo sistema è chiederti il codice ogni volta quelli cercano di fare un bonifico, bisognerebbe davvero essere un imbecille da Guinness per non farsi venire qualche dubbio…

    Fossi nei panni della Blizzard, renderei la chiavetta obbligatoria con la prossima espansione e per tutti i nuovi account vendendo la chiavetta nelle nuove scatole, a lungo andare risparmieranno milioni nel supporto, ammazzerebbero il powerlevelling e darebbero una sonora batosta ai gold seller che appunto hanno nel phishing la loro maggior fonte di gold.

  • # 18
    prode
     scrive: 

    Scusate se faccio una domanda banale, ma l’utilizzo nel tempo di questo dispositivo O-key che altro non è che un congegno elettrico, quando si scaricano le batterie che si fa?

  • # 19
    m455
     scrive: 

    @prode.
    le okey hanno una durata “media” di 3-4 anni. Una volta riscontrati dei problemi con l’accesso, si contatta il servizio clienti ISP che verifica se possibile “riallineare” la okey (il famoso orologio interno di cui si parlava sopra: c’è). Qualora la okey risultasse inutilizzabile, si va in una qualunque filiale della propria banca e restituendo la vecchia okey se ne ritira una nuova (il cui nuovo numero seriale sarà associato in maniera unica al tuo “codice titolare”)

  • # 20
    Bud
     scrive: 

    Allora, una volta lessi un bel trattato di crittografia che ha avuto il suo massimo splendore nel periodo della guerra fredda, ma che sta avendo da diversi anni nuovo splendore grazie alle tecnologie informatiche. Per generare un codice segrete occorre un algoritmo e una chiave. Per mezzo della chiave, l’algoritmo ti genera un codice segreto. I servizi segreti americani assumevano come dato di fatto che l’algoritmo, una volta creato fosse già nelle mani dei nemici. Pertanto il vero punto di forza doveva essere la complessità dell’algoritmo tale da rendere complicatissimo il contro algoritmo e la chiave che nei token è memorizzata con una lu.ga sequenza di 0 e 1 all’interno di un microchip. Realizzare una “macchina” capace di fare il percorso al contrario è estremamente complesso anche per macchine semplici. Vedi il film the imitation game.

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.