Quando si parla di conti correnti online la sicurezza è un aspetto di primaria importanza: non a caso, la sicurezza è uno delle principali preoccupazioni di quanti “rifiutano” di adoperare conti correnti o conti di deposito online, anche quando sono più convenienti dei conti “tradizionali”. Eppure, una ricerca condotta da Trusteer e segnalata da Zeus News, sembra siano proprio gli utenti a sottovalutare le problematiche di sicurezza, non adoperando le dovute precauzioni “minime”.
In particolare, la ricerca mostra come molti utenti utilizzino per l’accesso ai conti online le stesse password che usano per altri servizi meno “critici” (ad esempio, forum e simili). Cosa che può sembrare un peccato veniale, ma così non è: infatti, i siti meno critici adottano anche misure di sicurezza minori per proteggere i dati, e quindi è possibile per un malintenzionato forzare questi sistemi in modo da scoprire la password utilizzata dall’utente per provare ad utilizzarla per accedere al suo conto online.
E se qualcuno pensa “è vero, ma a me non capiterà: perché qualcuno dovrebbe preoccuparsi di scoprire proprio la mia password”, vale la pena sottolineare come questi attacchi vengano fatti in massa attraverso sistemi automatici, per cui il rischio non può essere ignorato.
La lezione, anche per quanto riguarda la sicurezza, è la stessa che abbiamo avuto modo di evidenziare molte volte a riguardo della finanza in generale: sicuramente è necessario migliorare i sistemi (in questo caso, di sicurezza), ma è l’utente/consumatore che deve sempre preoccuparsi di comprendere i meccanismi, ed i rischi, per tutelare i propri interessi.
Banche e Risparmio [http://www.banknoise.com]
Che non si debba usare per il mio conto in banca la stessa password che uso per andare su flickr o facebook ci sta.
Ma non diamo la colpa solo agli utenti. Un esempio molto pratico.
Nel 2004 sono andato a lavorare in Olanda ed ho dovuto aprire un cc da quelle parti.
Gia’ nel 2004 la procedura per accedere conto prevedeva (e prevede) una password sempre diversa ad ogni collegamento. Funziona cosi’. Ci si collega al sito della banca e si fornisce il proprio numero di conto; la banca verifica l’identita’ visualizzando un codice (sempre diverso) e un campo in cui inserire la “risposta” (che e’ dipende dal codice visualizzato). L’utente a casa ha una specie di “calcolatrice” dove puo’ infilare la tessera del bancomat: quando lo fa, la “calcolatrice” ti chiede il PIN e se questo e’ corretto, si attiva. Sulla “calcolatrice” attiva si digita il codice che e’ apparso sullo schermo e la calcolatrice fornisce la “risposta”. Si copia questa “risposta” nell’apposito campo e a questo punto il sistema ha “verificato” la tua identita’ e ti lascia vedere il cc; senza bisogno di password (ovviamente, la “risposta” ha la stessa funzione di una password; ma e’ sempre diversa e quindi anche se venisse intercettata il “ladro” non se ne farebbe nulla).
Questo sistema ha qualche vulnerabilita’ (credo che la + grave sia che in caso di furto del bancomat il cc e’ “protetto” solo dal PIN del bancomat stesso, visto che le “calcolatrici” son tutte uguali e non e’ difficile procurarsene una) ma certo e’ molto piu’ sicuro di quello basato su una password sempre uguale, che puo’ essere “rubata” in 1000 modi (trojan horses, phishing ecc.), spesso senza che l’utente nemmeno se ne accorga.
Anche dal punto di vista organizzativo, non mi sembra particolarmente complicato o costoso. Ora, perche’ in Olanda veniva utilizzato gia’ nel 2004 mentre da noi siamo ancora alla password?
In realtà, da quello che capisco mi pare che il sistema “Olandese” sia una brutta copia di quello basato su token, che ha lo stesso funzionamento ma non può essere utilizzato per accedere a conti di altri clienti (mi pare che la “calcolatrice” invece lo consentirebbe).
Il token credo sia lo strumento più diffuso per l’accesso al conto (almeno da parte delle banche “serie”): la sola accoppiata username+password mi pare sia usata solo da qualche conto di deposito (Rendimax e Contoconto per fare nomi), dove però un malintenzionato potrebbe fare poco, dato che sono possibili solo movimenti da e verso il conto predefinito.
Ma il problema è anche la corsa alla sicurezza, secondo me. Per esempio, a me da qualche tempo al lavoro mi costringono a cambiare la password ogni tre mesi. Risultato: prima, ho usato la stessa password “discreta”, per 5 anni, adesso uso password “stupide”, perché non riesco ad usare qualcosa che riesca a memorizzare e sia sicuro. E vedo miei colleghi che si scrivono la password su un post-it perché sennò se la dimenticano…
La continua richiesta di password nuove è una cosa assurda. Si sa benissimo che la password (appena viene scoperta) viene usata sul CC per spostare denaro.
Il metodo olandese è in attuazione presso PosteItaliane. I loro CC fino al 2009 erano protetti solo da password e sono stati oggetto di molti attacchi phishing (soprattutto perchè i CC Bancoposta sono molto diffusi).
Secondo me è sufficiente oltre alla passwd avere un altro sistema: calcolatrice, token, certificato sul pc. Ma questo ha dei costi e non ci si può accontentare di un CC economico basato solo su password.
Inoltre bisogna smettere di inviare email ai clienti con link al proprio sito: si abituano i clienti a cliccare sui messaggi. Inoltre, ogni email dovrebbe contenere Nome/Cognome e una parte del numero del conto (informazione nota solo alla banca)
Non sono sicuro di capir bene cosa ALEZ intenda per token, ma in questi giorni alcuni amici mi han detto che la loro banca usa un sistema che concettualmente mi sembra identico a quello della mia banca olandese (ABN-AMRO), per quanto magari utilizzi metodi meno tecnologici come tavole di conversione su carta.
Quanto alla “calcolatrice” (nome ufficiale: e.dentifier) ed alla possibilita’ di accedere al conto di un altro, me l’ero chiesto anchio ed avevo fatto esperimenti con l’aiuto di un altro cliente della stessa banca: il risultato era che l’e.dentifier non influenza le risposte, che invece dipendono solo dal bancomat utilizzato (ovvero: 2 bancomat diversi nello stesso e.dentifier producono codici di accesso diversi; ma lo stesso bancomat in 2 e.dentifier diversi produce sempre gli stessi codici). Quindi non e’ possibile utilizzare l’e.dentifier per accedere al conto di un altro, a meno di avere il suo bancomat (e conoscere il pin del bancomat stesso).
So che adesso stanno introducendo una versione 2 del sistema (non chiedetemi dettagli xche non li conosco), credo per via di alcune vulnerabilita’ (vedi ad es. http://www.roelbroersma.nl/index.php/2007/04/17/abn-amro-security-fails ).
Comunque sia, la mia esperienza e una breve “inchiesta” (certo non rappresentativa) fra amici e parenti mi induce a credere che circa il 50% delle banche italiane usino ancora un sistema basato sulla password (magari complicato da continue richieste di cambiamento; o da password “dispositive” che vanno utilizzate solo per le operazioni che comportino l’esborso di denaro) mentre le altre usano qualche sistema basato sui token.
Per finire, come dice FRANCESCO, Poste Italiane sta facendo la transizione: buon per loro e per i loro clienti.
Ma francamente fa un po’ ridere vedere il loro sito (http://www.poste.it/bancoposta/lettore/index.shtml) che recita “BancoPosta ha creato per te uno strumento semplice e innovativo”…