Canada: motori di ricerca illegali?

Una controversa novità introdotta dal parlamento canadese potrebbe mettere al bando una grande quantità di strumenti assai popolari tra gli utenti internet


Ottawa – I rappresentanti della Camera Bassa del parlamento canadese gettano un’ombra sul destino di molti motori di ricerca: la House of Commons ha approvato in prima lettura un controverso emendamento alla legge sul diritto d’autore. L’approvazione definitiva e senza modifiche di questa aggiunta vieta potenzialmente a Google e soci di operare in maniera legittima.

Il pomo della discordia ha nome C-60 : la sua interpretazione lascia spazio a dubbi laceranti che hanno alimentato molte polemiche. L’emendamento parte infatti dall’assunto che persino l’ indicizzazione di materiale protetto possa costituire una violazione della proprietà intellettuale.

Se la legge verrà approvata senza ulteriori modifiche e passerà il vaglio del Senato, i legittimi proprietari di informazioni indicizzate da “strumenti di localizzazione” potranno direttamente accusare i fornitori di questi servizi. Il testo del C-60 sottolinea che i suddetti “strumenti” sono infatti i programmi informatici che “permettono la localizzazione di informazioni attraverso Internet o qualsiasi altro network digitale” – una definizione che calza a pennello per tutti i motori di ricerca, dal più triviale al più complesso.

La semplice archiviazione di materiale coperto da copyright, fonte di dolorosi grattacapi anche per Archive.org , diverrebbe così perseguibile penalmente. Secondo Howard Knopf, esperto avvocato intervistato dal quotidiano The Globe and Mail , l’attuale emendamento C-60 “colpisce l’architettura di tutti i Google di questo mondo”. “Per colpire davvero chi viola il copyright non serve sparare a zero contro i motori di ricerca”, conclude Knopf.

La radice del problema sarebbe la struttura stessa di Internet, comunemente riconosciuto come medium di informazione. Riaffiora così un’antica ed annosa questione: colpire il messaggio oppure il messaggero ? Nel regno digitale, dove i messaggi sono costituiti da interminabili catene di dati binari, il discorso si fa ancora più complesso.

Tommaso Lombardi

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • cristianx scrive:
    Re: Password che cambia OGNI MINUTO
    E' una vita che accedo al mio conto UBS con un token che genera la password in questo modo...purtroppo non e' aplicabile per siti come eBay o servizi di email dove la facilita' di accesso deve essere garantita non trattandosi di una banca o servizio finanziario...cmq sitekey e' facilmente aggirabile, mi tengo distante dal dire come per ovvi motivi inoltre sto facendo alcuni test per capirne l'affidabilita'.Nel frattempo FINECO continua a mandare messaggi con inviti a loggarsi su un link HTML, avremo presto notizie di spoofing con oggetto FINECO cristian p
  • Anonimo scrive:
    Re: Password che cambia OGNI MINUTO
    - Scritto da: Anonimo
    la password di ogni utente cambia ogni minuto
    seguendo un algoritmo differente per ogni utente.
    Ad ogni utente viene data una specie di
    "calcolatrice" che implementa quell'algoritmo e
    che quindi è in grado di dire al possessore
    qual'è la sua password, minuto per minuto.Che importanza ha la complessita' della password o la sua durata se il controllo della password e' bypassabile ? Ovvero se in qualche modo posso accedere alla risorsa che dovrebbe essere protetta da password senza conoscere la password ?E' il caso piu' frequente, che accade quotidianamente.Perche' un sistema come quello di cui parli sia efficacie, la possibilita' di accesso senza password deve essere nulla.Quando accade ?E quanto e' sicuro che la password (complessa e mutante) non sia recuperabile ?La sicurezza e' una sequenza dinamica di botte e risposte. Chi e' piu' veloce e preciso vince.La sicurezza statica, della serie: metto in piedi questo sistema e sono tranquillo, e' un'illusione.
  • pippo75 scrive:
    Re: Password che cambia OGNI MINUTO
    magaria chiave segreta, conosciuta solo dalla banca e inserita all'interno della calcolatrice ma non a conoscenza dell'utente.a primo impatto dire che e' ottomo contro questi casi.ciao
  • Sparrow scrive:
    Re: Password che cambia OGNI MINUTO
    Non è lo stesso di quello che fa BNL con il "PASS" che genera le pwds ?
    • Anonimo scrive:
      Re: Password che cambia OGNI MINUTO
      - Scritto da: Sparrow
      Non è lo stesso di quello che fa BNL con il
      "PASS" che genera le pwds ?Esatto; il sistema sfrutta una eToken con funzionalità integrata OTP (On Time Password). Nel caso di BNL la password varia ogni 30 secondi.
  • Guybrush scrive:
    Idea carina, ma...
    ...comunque a rischio.Un portachiavi con un generatore di codici basato su data, ora, e numero di conto.Un plugin scaricato al momento dell'entrata nella sezione "conto online" effettua la connessione al conto e cifra il tutto con i dati di username, password e codice del proprietario.Solo se i dati "fanno scopa" con quelli del server (il codice temporaneo cambia sempre) vengono decrittati correttamente, un numero di codice "generato a caso" non avra' alcuna possibilita' di funzionare.Funziona sempre (a patto di usare un browser recente) e non installa nulla.
    GT
  • Anonimo scrive:
    Bipop fa così
    Nome utente e password, ma per operazioni che comportano la movimentazione di denaro (bonifici etc.) vengono date le coordinate di un'apposita card (tipo A5): l'utente prende la sua crad (spedita per posta), legge il codice all'incrocio delle coordinate e le inserisce.La card è spedita all'utente per posta.
    • Anonimo scrive:
      Re: Bipop fa così
      Non e' l'unica che fa cosi'.E' una cosa analoga ad avere 100 password per le operazioni invece di una.Ma 1, 10 o 1000, sempre una password da inserire e'.
  • Anonimo scrive:
    Certificazione del CLIENT ?
    Anche senza smartcard, sarebbe sufficiente dare un CD all'utente della banca con una chiave psk autoinstallante nel browser.Funziona con tutti i browser e si autentica il client !Il certificato, contiene le informazioni del cliente criptato con chiave privata e quindi rende impossibile ad eventuali avventori di spacciarsi per lui.Per altro il certificato non può essere intercettato e rimandato (man in the middle) in quanto il tutto è protetto con la logica del SSL ...Ho già messo in piedi sistemi di sicurezza del genere in mezza giornata e dare un CD ai clienti non mi sembra una grande difficoltà ...Detto questo, informare il cliente con una EMAIL o nella pagina principale non è una cattiva idea , molte banche già lo fanno ed è la cosa più ovvia !
    • Anonimo scrive:
      Re: Certificazione del CLIENT ?

      Ho già messo in piedi sistemi di sicurezza del
      genere in mezza giornata e dare un CD ai clienti
      non mi sembra una grande difficoltà ...

      Detto questo, informare il cliente con una EMAIL
      o nella pagina principale non è una cattiva idea
      , molte banche già lo fanno ed è la cosa più
      ovvia !Bella idea, ma poi l'assistenza?Eh, non mi si installa....Eh mi ha bloccato il computer....Eh non funziona ma io ho fatto tutto bene....Sai che calvario, magari ne vale la pena solo per i conti + danarosi :D
      • Anonimo scrive:
        Re: Certificazione del CLIENT ?


        Bella idea, ma poi l'assistenza?

        Eh, non mi si installa....

        Eh mi ha bloccato il computer....

        Eh non funziona ma io ho fatto tutto bene....

        Sai che calvario, magari ne vale la pena solo per
        i conti + danarosi :DSi vabbè .... però installare un certificato nel browser richiede proprio un minimo di esperienza, con explorer, basta un programmino che gira su tutte le versioni di windows, su MAC si va in un secondo, su Linux basta uno script.Secondo me è più complicato scrivere 22 password che cambiano ogni secondo e mezzo .... Del resto il meccanismo della smartcard è lo stesso di quello del certificato, solo che nel caso specifico si trova nella tesserina e devi pagare per comprare l'hardware (se non è già incluso nel PC).
  • Anonimo scrive:
    Ma una bella SmartCard no eh ?!
    Con dentro una password simmetrica e la sua gemelladepositata sui sistemi della banca, in modo tale chela connessione sia sicura al 99,99%(0,1 e' d'obbligoquando si parla di sicurezza in qualsiasi campo).Via il Pishing, via "l'uomo nel mezzo", via i keylogger,via tutti i pensieri ;-)
    • Anonimo scrive:
      Re: Ma una bella SmartCard no eh ?!
      - Scritto da: Anonimo
      Con dentro una password simmetrica e la sua
      gemella
      depositata sui sistemi della banca, in modo tale
      che
      la connessione sia sicura al 99,99%(0,1 e'
      d'obbligo
      quando si parla di sicurezza in qualsiasi campo).
      Via il Pishing, via "l'uomo nel mezzo", via i
      keylogger,
      via tutti i pensieri ;-)
      Anch'io sarei per una SMART CARD con cui gestire un sistema di chiavi asimmetriche.
    • abbasso scrive:
      Re: Ma una bella SmartCard no eh ?!
      E se il sito di phishing è organizzato in maniera tale da copiare la chiave sulla smart-card?Il punto è che già oggi esistono e vengono usati dalle banche sistemi adeguatamente sicuri e proprio per questo è nato il phishing: non essendo possibile abbattere quei sistemi bisogna in qualche modo aggirarli.
      • Anonimo scrive:
        Re: Ma una bella SmartCard no eh ?!
        - Scritto da: abbasso
        E se il sito di phishing è organizzato in maniera
        tale da copiare la chiave sulla smart-card?Non puoi perche' la chiave e' interna alla smartcarde i flusso di dati in imput viene decrittato e poirestituito all'esterno.
        Il punto è che già oggi esistono e vengono usati
        dalle banche sistemi adeguatamente sicuri e
        proprio per questo è nato il phishing: non
        essendo possibile abbattere quei sistemi bisogna
        in qualche modo aggirarli.Difatti basta utilizzare tecnologie non eludibili o, meglio, difficilmente eludibiligl
        • Anonimo scrive:
          Re: Ma una bella SmartCard no eh ?!
          - Scritto da: Anonimo
          Non puoi perche' la chiave e' interna alla
          smartcardLa chiave, e solo la chiave è in un sistema "blindato". E il resto? E la memoria del tuo PC?
          e i flusso di dati in imput viene decrittato e poi
          restituito all'esterno.Viene restituito all'esterno cio che entra. Essendo la memoria dei PC non sicura (lo sarebbe con Palladium, per inciso) basta che ti scrivo un bel virus che ti cambia i dati in memoria ma non quelli a schermo ed ecco che hai spedito i soldi in kenya, invece che al tuo condominio...
          Difatti basta utilizzare tecnologie non eludibili
          o, meglio, difficilmente eludibiliMa non impossibili da eludere. Anzi sono eludibili molto semplicemente.
          • Anonimo scrive:
            Re: Ma una bella SmartCard no eh ?!
            - Scritto da: Anonimo

            - Scritto da: Anonimo

            Non puoi perche' la chiave e' interna alla

            smartcard

            La chiave, e solo la chiave è in un sistema
            "blindato". E il resto? E la memoria del tuo PC?


            e i flusso di dati in imput viene decrittato e
            poi

            restituito all'esterno.

            Viene restituito all'esterno cio che entra.
            Essendo la memoria dei PC non sicura (lo sarebbe
            con Palladium, per inciso) basta che ti scrivo un
            bel virus che ti cambia i dati in memoria ma non
            quelli a schermo ed ecco che hai spedito i soldi
            in kenya, invece che al tuo condominio...Ehhmmm, forse non sai molto di crittografia...Puoi cambiare tutti i dati in entrata che vuoi mase tali dati non vengono codificati con la chiavedella banca l'unica cosa che ottieni e' un belError message da parte della chiave!

            Difatti basta utilizzare tecnologie non
            eludibili

            o, meglio, difficilmente eludibili

            Ma non impossibili da eludere. Anzi sono
            eludibili molto semplicemente.Con questo, ma non e' una critica e' solo unaconsiderazione, vedo che di crittografica nonne sai granche' ;)Studia un po di crittografia e vedrai che capiraidi cosa sto parlando...Ciao
    • Anonimo scrive:
      Re: Ma una bella SmartCard no eh ?!
      - Scritto da: Anonimo
      Con dentro una password simmetrica....Questo richiede che ogni PC abbia un lettore di smart card.Attualmente sono mooolto pochi.
      • Anonimo scrive:
        Re: Ma una bella SmartCard no eh ?!
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        Con dentro una password simmetrica....

        Questo richiede che ogni PC abbia un lettore di
        smart card.
        Attualmente sono mooolto pochi.LolDifatti basta installarlo e vedrai che il loro numerocrescera' di molto ;-)
      • awerellwv scrive:
        Re: Ma una bella SmartCard no eh ?!
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        Con dentro una password simmetrica....

        Questo richiede che ogni PC abbia un lettore di
        smart card.
        Attualmente sono mooolto pochi.per la banca avrebbe un costo irrisorio darlo in dotazione assieme alal smartcard.... per quello poi che ti spillano l'anno solo come costi di gestione se lo ripagano in 3 mesi....
  • santommaso scrive:
    Toolbar antiphishing per IE e Firefox
    Esistono delle toolbar che aiutano a bloccare i siti di phishing, come ad esempio la Netcraft Toolbar.Il problema fondamentale è sempre quello della informazione e formazione degli utenti.Per questo è interessante quanto fatto dall'Associazione dei consumatori della svizzera italiana per sensibilizzare il grande pubblico sui problemi di sicurezza informatica. Vedi www.acsi.ch/sicurezza
    • vale56 scrive:
      Re: Toolbar antiphishing per IE e Firefox
      - Scritto da: santommaso
      Esistono delle toolbar che aiutano a bloccare i
      siti di phishing, come ad esempio la Netcraft
      Toolbar.
      Il problema fondamentale è sempre quello della
      informazione e formazione degli utenti.
      Per questo è interessante quanto fatto
      dall'Associazione dei consumatori della svizzera
      italiana per sensibilizzare il grande pubblico
      sui problemi di sicurezza informatica. Vedi
      www.acsi.ch/sicurezzaPurtroppo queste barre hanno una finestra temporale tra quando il sito di Phishing viene creato, a quando è segnalato come tale. Se tu, per sfiga, ricadi in quella finestra, le barre non bastano (anche se aiutano)
    • Anonimo scrive:
      Re: Toolbar antiphishing per IE e Firefo
      Però se proprio hai bisogno di accedere ai siti MS devi disattivarla :D
      • santommaso scrive:
        Re: Toolbar antiphishing per IE e Firefo
        Scusa ma non capisco il perché.Io la utilizzo correntemente e non ho bisogno di fare nessuna distinzione a dipendenza del tipo di sito
  • Anonimo scrive:
    La Banca Sella lo ha già da mesi!
    La Banca Sella adotta già il sistema descritto da svariati mesi.In pratica il login avviene così:1a fase: inserimento numero conto e pin segreto2a fase: la frase segreta introdotta dall'utente (e solo a lui nota) viene visualizzata. L'utente può non procedere all'inserimento se non è corretta! Nella stessa pagina sono richiesti i dati della fase 33a fase: inserimento data di nascita e due caratteri della password (es il primo e il quinto oppure il secondo e quarto oppure ...).L'accesso è completato.Anche in caso di intercettazione della comunicazione (o keylogging...), allo spione non sarebbero disponibili abbastanza informazioni per l'accesso.Ovviamente con 3 errori e l'accesso viene bloccato.Non ho esperienza di tanti altri banking on line (2), ma questo mi sembra un ottimo livello!PS: non sono un dipendente della Sella, solo un cliente soddisfatto del servizio! :) A volte capita :))
    • Anonimo scrive:
      Re: La Banca Sella lo ha già da mesi!
      In effetti è già un buon livello.Secondo me è superiore come sicurezza quello della BNL che prevede l'uso di una password, di una seconda password data da un generatore di codici ONE-TIME da portare come un portachiavi e di un codice pin fisso.
    • Anonimo scrive:
      Re: La Banca Sella lo ha già da mesi!

      PS: non sono un dipendente della Sella, solo un
      cliente soddisfatto del servizio! :) A volte
      capita :))Tu sei soddisfatto, ma immagini quanti dicono: "e che palle sta' cosa ti fa tremila domande io ho un conto in un'altra banca che con un id e password entro subito, sono proprio scarsi questi della sella" :D :D :DEH, l'informatica e' proprio una rottura a volte :D
    • pippo75 scrive:
      Re: La Banca Sella lo ha già da mesi!


      1a fase: inserimento numero conto e pin segretoil sito fasullo ti fa la stessa domanda ed invia i dati alla banca sella
      2a fase: la frase segreta introdotta dall'utentela banca sella invia la frase al sito fasullo (credendolo il loro cliente), il sito fasullo rimanda la frase a te.
      (e solo a lui nota) viene visualizzata. L'utente
      può non procedere all'inserimento se non è
      corretta!Tu rispondi alla frase dicendo se e' corretta oppure no, il sito fasullo rinvia la risposta alla banca sella.
      3a fase: inserimento data di nascita e due
      caratteri della password (es il primo e il quinto
      oppure il secondo e quarto oppure ...).vedi primasecondo ma la soluzione puo' essere: la banca ti da il suo programma e ti connetti direttamente con quello, magari per maggiore sicurezza fa in modo che ogni programma debba essere abilitato in qualche modo per evitare contraffazioni.Si blocca ogni tentativo di collegarsi con altri programmi o con programmi non abilitati.ciao
      • Anonimo scrive:
        Re: La Banca Sella lo ha già da mesi!
        Però il sito posto in mezzo che descrivi deve convincere l'utente a fare attraverso di lui il login un numero di volte elevato, fino a conoscere tutte le lettere della seconda password.Il che è piuttosto improbabile...Comunque all'imperizia di un utente non c'è un margine assoluto... (pensate a chi scrive il pin nel foglietto insieme al bancomat).La soluzione del programma dedicato ha dimostrato di esser poco pratica (bisogna averlo sempre con se, funzionano solo su Win e mal si adattano tra versioni diverse). Inoltre se si pensa alla relativa facilità di installare backdoors, un pc controllato con l'aggiunta di un keylogger regala un accesso all'home banking completo e per di più dal pc dell'utente stesso! Cosa voler di più?(Le connessioni ADSL permanenti sono una pacchia per simili attacchi....)
  • ryoga scrive:
    Soluzione molto piu' semplice...
    Ma non sarebbe piu' semplice e piu' economico inviare a tutti i correntisti una lettera postale ( o meglio una telefonata ), dove li si informa che la banca non invierà MAI email per richiesta di - reattivazione del sistema- cambio password e username- informazioni sul conto e falsi allarmiIn questo modo, si dice chiaro e tondo : "Noi abbiamo gia' tutti i tuoi dati, anche se li perdiamo (1/1milione), ti chiamiamo e non ti scriviamo per email se non per informarti di novità e offerte promosse dalla banca"Detto questo, hai installato l'antivirus nella mente dell'uomo che sapra' di non dover cliccare su messaggi da parte della banca.Invece mi sa che questa cosa non la fanno per :- Far perdere qualche soldo ai loro clienti ( magari 1 ci casca e invece di perdere 1000 ne fanno perdere 10000)- Far sparire qualche soldo per l'acquisto di questa nuova ed entusiasmante "feature" ( SiteKey )- non ammettere che attualmente la colpa e' loro se non hanno avvisato gli utenti-utonti dei possibili rischi di un internet banking.
    • Anonimo scrive:
      Re: Soluzione molto piu' semplice...
      Potrebbe essere una buona idea, ma resterebbero sempre quelli che sbagliano l'URL magari per una lettera.IMHO il problema non si può risolvere con password, frasi ed immagini, perchè un sito malevolo può anche mettersi semplicemente in mezzo in modo trasparente tra il cliente ed il sito originale (quindi in effetti l'utente vedrebbe il sito originale vero e proprio, a parte l'URL).La mia soluzione è quella FireFox: Io sono la banca: vuoi aprire un conto presso di me? Installi il Firefox e la MIA toolbar (tutti e due scaricabili nel mio sito). Tu sai che quando ti vuoi collegare con me devi usare il bottoncino del panda rosso e fare clic sul pulsante della banca. Quindi è inutile che tu faccia clic dall'indirizzo e-mail. Devi sempre e comunque fare clic sul panda rosso e poi sul pulsante della banca altrimenti nisba.
      • Anonimo scrive:
        Re: Soluzione molto piu' semplice...
        - Scritto da: Anonimo
        Installi il Firefox e la MIA toolbarIn che sistema operativo?E se sono in un internet caffe?E dove finisce la mia (banca) responsabilità ed inizia la tua (utente)Le tue idee non sono da scartare a priori, ma sono anche di "complessa" realizzazione.
        • Anonimo scrive:
          Re: Soluzione molto piu' semplice...
          ...aggiungo che ovviamente se il firefox o la toolbar non sono quelle aggiornati il sito della banca ti invita a scaricarteli nuovamente (con i link interno al sito). O così oppure vieni allo sportello di persona e fine della storia.
        • frog scrive:
          Re: Soluzione molto piu' semplice...


          E se sono in un internet caffe?
          Ma tu usi veramente delle password importanti da un internet cafe???!!Brrrrrrrrrrrrrrrrrrrr non avrei mai il coraggio di fare una cosa del genere:|
      • Anonimo scrive:
        Re: Soluzione molto piu' semplice...

        La mia soluzione è quella FireFox:
        Io sono la banca: vuoi aprire un conto presso di
        me? Installi il Firefox e la MIA toolbar (tutti e
        due scaricabili nel mio sito). Davvero? si potrebbe far girare un virus che se trova MIA toolbar installata la disinstalla e si sostituisce, oppure intercetta tutto il traffico dal momento che si utilizza MIA toolbar
        • Anonimo scrive:
          Re: Soluzione molto piu' semplice...

          Davvero? si potrebbe far girare un virus che se
          trova MIA toolbar installata la disinstalla e si
          sostituisce, oppure intercetta tutto il traffico
          dal momento che si utilizza MIA toolbarstavamo parlando di soluzioni anti-phishing.E' chiaro che se il PC e' infetto non hai scampo, basta un keylogger e non c'e' santo che tenga.Per essere sicuro al 1000% di non avere virus, keylogger o chissachecazzo devi fare il reboot con una distro live customizzata dalla banca che contiene un browser e poso altro.Questo porta pero' 2 problemi:1 - Alcuni modem possono non essere riconosciuti da una distro live.2 - In alcuni BIOS il boot da CD puo' non essere la prima scelta (e allora partirebbe da HD)Il punto 2 ha soluzione, e' un attimo, basta qualche skill o un amico.Il punto 1 non sempre ha soluzione.
          • jojob scrive:
            Re: Soluzione molto piu' semplice...
            - Scritto da: Anonimo

            Davvero? si potrebbe far girare un virus che se

            trova MIA toolbar installata la disinstalla e si

            sostituisce, oppure intercetta tutto il traffico

            dal momento che si utilizza MIA toolbar

            stavamo parlando di soluzioni anti-phishing.
            E' chiaro che se il PC e' infetto non hai scampo,
            basta un keylogger e non c'e' santo che tenga.
            Per essere sicuro al 1000% di non avere virus,
            keylogger o chissachecazzo devi fare il reboot
            con una distro live customizzata dalla banca che
            contiene un browser e poso altro.
            Questo porta pero' 2 problemi:
            1 - Alcuni modem possono non essere riconosciuti
            da una distro live.
            2 - In alcuni BIOS il boot da CD puo' non essere
            la prima scelta (e allora partirebbe da HD)

            Il punto 2 ha soluzione, e' un attimo, basta
            qualche skill o un amico.Non sempre, hai presenti i portatili aziendali tipo IBM thinkpad in cui e' settata la password di supervisor e tu hai solo quella utente?
            Il punto 1 non sempre ha soluzione.Vero
      • pippo75 scrive:
        Re: Soluzione molto piu' semplice...

        La mia soluzione è quella FireFox:
        Io sono la banca: vuoi aprire un conto presso di
        me? Installi il Firefox e la MIA toolbar (tutti ecaro utente c'e' la nuova versione delle toolbar, scaricala da www.bancas.com.........ciao
        • Anonimo scrive:
          Re: Soluzione molto piu' semplice...
          - Scritto da: pippo75


          La mia soluzione è quella FireFox:

          Io sono la banca: vuoi aprire un conto presso di

          me? Installi il Firefox e la MIA toolbar (tutti
          e


          caro utente c'e' la nuova versione delle toolbar,
          scaricala da www.bancas.com.........

          ciaoColpito, affondato e dimenticato.Non se ne parli piu'.
    • cristianx scrive:
      Re: Soluzione molto piu' semplice...
      sono d'accordo con te in effetti questo dovrebbe essere un 'basic' contro il phishing tuttavia ho notato negli us che i phisher tendono a fare esattamente le stesse cose delle banche (siti di altro genere) e inviano snail mail con messaggi diversi. Inoltre la ragione per cui il phishing funziona e' legata al fatto che vengono inviati milioni di messaggi e poche centinaia di utenti ci cascano...a rigor di logica poco efficace ma se consideriamo quanto facile e' spammare milioni di persone beh in questo caso e' un sistema molto efficace....sono i male informati che vengono vittimizzati, quelli che cestinano la lettera come l'email....quelli che non leggono la stampa o che sono nel panico perche 'credit card on file is expired'.Cio' non toglie che le banche dovrebbero fare un po di campagna offline, mentre fineco CONTINUA a spedire messaggi in HTML invitando i clienti a loggarsi da li!!! ASSURDO qualcuno ha parlato con quelli di FINECO? Lo sanno cosa succedera' presto non appena le bande li fuori se ne accorgono?Poi il problema rimane tale per i grandi providers email e eBay, difficile per loro spostare la comunicazione offline, tuttavia con sistemi vari sia eBay che i providers email hanno fatto passi da gigante (vedi toolbar e nuovi standard antispam proposti da gmail e Y!)cristianx
    • Anonimo scrive:
      Re: Soluzione molto piu' semplice...
      e un sistema di login basato su cellulare?se vuoi fare operazioni o accedere all'estratto conto devi fare una chiamata (gratuita) al gateway della banca, che riconoscendo il tuo numero ti abilità l'operazione (+ il normale sistema di password).Alla banca viene registrato il tuo numero e l'id della sim così che quando telfoni lo puoi fare solo ed esclusivamente tu (a meno che l'hacker non possa intercettarci il telefono, clonare la sim e farsi gli affari tuoi sul tuo conto).Se cambi numero o sim, ovviamente devi comunicarlo alla banca.
  • Anonimo scrive:
    Soluzione alternativa
    L'avevano proposta in un commento ad un'altra notizia qualche giorno fa. La ripropongo perchè mi sembrava una buona idea:"...si puo' sfruttare questo fatto fornendo ai truffatori dati "tracciati" che poi il server Unicredit, una volta riconosciuto il tentativo di login con questi dati tracciati tratterebbe la richiesta di bonifico in maniera virtuale, con un honeypot, illudendo i ladri che la transiziaone sia andata a buon fine, e catturando cosi' il numero di conto bancario dei ladri.A questo punto bisognerebbe bloccare quel conto e, a livello di server Unicredit bloccare ogni ulteriore richiesta di bonifico verso quel conto, anche se richiesto con dati (user e PIN) validi...."http://punto-informatico.it/forum/pol.asp?mid=1066031&tid=1065878&p=1&r=PI#1066031Oltre a questo si potrebbe aggiungere il codice dispositivo in modo da ridurre al minimo anche il possibile man in the middle commentato qualche post sotto. Convincerti a loggarti e a fare anche più operazioni* diventa dura...* se i codici dispositivi funzionano tutti come quelli di Bancoposta, non ti viene mai chiesto tutto ma sempre solo una parte casuale, quindi per averlo tutto i furbacchioni dovrebbero farti fare più operazioni.
  • Anonimo scrive:
    La cultura della sicurezza
    Banca MPS:Vado allo sportello a fare un operazione e mi trovo accanto sul bancone una bella pila di fogli con le autorizzazioni per l'home banking con dati personali conditi di username e password in bella vista.Finche' succedono queste cose puoi inventarti tutti i sistemi di sicurezza che ti pare...
    • Anonimo scrive:
      Re: La cultura della sicurezza

      pila di fogli con le autorizzazioniè veramente pazzescod'altra parte in certe filiali vedo ancora win9xe la cosa mi sembra meno sicura del miomaterasso
      • Anonimo scrive:
        Re: La cultura della sicurezza
        - Scritto da: Anonimo

        pila di fogli con le autorizzazioni
        è veramente pazzesco
        d'altra parte in certe filiali vedo ancora win9x
        e la cosa mi sembra meno sicura del mio
        materassoLe banche non usano il pc come macchina ma solo come terminale, si collegano via terminal remoto con il server e lavorano sul server. Il pc su cui digitano le paroline può avere anche windows 95 essere infetto e caricato cosa vuoi, tanto tutto il lavoro avviene sempre su un server remoto.La sicurezza a questo punto è solo quella del server.
        • Anonimo scrive:
          Re: La cultura della sicurezza
          - Scritto da: Anonimo
          Le banche non usano il pc come macchina ma solo
          come terminale, si collegano via terminal remoto
          con il server e lavorano sul server. Il pc su cui
          digitano le paroline può avere anche windows 95
          essere infetto e caricato cosa vuoi, tanto tutto
          il lavoro avviene sempre su un server remoto.
          La sicurezza a questo punto è solo quella del
          server.Purché tali PC non siano collegati ad Internet, altrimenti il trojan di turno passa al malintenzionato tutte le password e user che l'impiegato bancario ha digitato...
    • Anonimo scrive:
      Re: La cultura della sicurezza
      - Scritto da: Anonimo
      Banca MPS:hai gia' detto tutto...
    • Anonimo scrive:
      Re: La cultura della sicurezza
      hai colto nel segno manca proprio la cultura della sicurezza...pensa che da correntista fineco un giorno li ho chiamati e ho detto loro che e' decisamente imprudente mandare mail ai clienti con link per loggarsi al sito e loro mi hanno risposto:il nostro sito e' sicuro con crittografia ssl 128 bit etc etc...Ma INCOMPETENTI che non siete altro il punto e' che vi mandano su un altro sito non sul vostro!!! non hanno ancora afferrato il concetto, mi chiedo quanto ci metteranno i rumeni a capire che Fineco e' una miniera d'oro visto che usa solo passwords (no RSA et similia)ed e' (ahime') diffusissimo?Saluticristianx :@
  • Anonimo scrive:
    identikit utente medio
    osserviamo ancora che la miglior soluzionesarebbe suggerire agli utenti di impararequalcosina su come ci si comporta con unoschermo e una tastiera, anzichè liquidarlicon un prodotto e il messaggio che tutti possonousarlo senza avere la benché minima cognizione.esisterà sempre un modo per fregare utenti delgenere, se non altro perchè usando xp sprotettocon un'adsl flat come fanno al 99% qualsiasi ragazzo un po esperto può entrare e sbirciarema per vendere raccontano la stronzata che sipuò usare il computer da perfetti ignoranti
    • Riot scrive:
      Re: identikit utente medio

      osserviamo ancora che la miglior soluzione
      sarebbe suggerire agli utenti di imparare
      qualcosina su come ci si comporta con uno
      schermo e una tastiera, anzichè liquidarli
      con un prodotto e il messaggio che tutti possono
      usarlo senza avere la benché minima cognizione.
      esisterà sempre un modo per fregare utenti del
      genere, se non altro perchè usando xp sprotetto
      con un'adsl flat come fanno al 99% qualsiasi
      ragazzo un po esperto può entrare e sbirciare

      ma per vendere raccontano la stronzata che si
      può usare il computer da perfetti ignorantiE' giustissimo, ma ora ti diranno che il PC è uno strumento e che è fatto per renderti la più semplice e non il contrario.Il problema di tutti questi individui è che non si rendono che qualsiasi strumento richiede del tempo per apprenderne l'uso e più sono le funzionalità dello strumento più tempo è richiesto per l'apprendimento.Prendi un'auto per esempio, i comandi sono semplicissimi da imparare ed il codice della strada non richiede molto di più eppure esistono le scuole guida e i 3/4 della gente guida da idiota.
      • Anonimo scrive:
        Re: identikit utente medio

        Il problema verocon l'aggiunta del problema di fondo che certeaziende ti vendono i loro prodotti con il messaggioimplicito ed esplicito che sono ultra-facili, nonbisogna sbattersi, si spinge il bottone poi si premelo start, poi "puoi fare ciò che vuoi"se mettessero sulla scatola:devi acquistare l'abbonamento a un antiviruse a un antispyware e installare gli stessi o farlofare a un tecnico, ma poi sta a te tenerli aggiornatilo stesso vale per il firewall che va settato a secondadell'uso che fai del computer, lo stesso per gliaggiornamenti del sistema che vanno abilitati,così come bisogna fare attenzione ai dialoghi diavvertimento che compaiono quando si installaqualcosa, etc. ATTENZIONE: se non fai questocorri il pericolo di farti compromettere lamacchina che poi verà usata in rete da terziper SCOPI ILLECITI di cui TU SARAI RESPONSABILE a meno che non dimostri il contrario.Queste verità, col cavolo che te le fanno sentire:poi nascono casini immensi per aver truffato gliutenti con promesse di facilità d'uso fuori dalmondo reale, per vendere la loro robaciao
  • koby scrive:
    man in the middle?
    Ma per la soluzione dell'immagine o frase fornita dalla banca al cliente, non è a rischio di attacco "man in the middle"? Esempio:io (A) mi connetto a unicreditsbanca.com (B), il sito truffa.B si connette a unicretbanca.it (C), il sito "onesto", e fa la stessa richiesta che gli è stata fatta da A.C risponde a B che inoltra a A.B in questo modo può loggare tutti i dati, e allo stesso tempo si comporterebbe nello stesso modo di C.O sbaglio qualcosa?
    • Fiamel scrive:
      Re: man in the middle?
      Non sbagli, è possibilissimo, ma realizzarlo è molto più complesso che scrivere un paio di pagine simili alle originali.Comunque si può fare.
    • Anonimo scrive:
      Re: man in the middle?
      - Scritto da: koby
      O sbaglio qualcosa?No, non sbagli. Però io banca posso non accettare connessioni provenienti da "unicreditsbanca"... ed è molto più semplice centralizzare i controlli piuttosto che spalmarli su tutti i clienti. :p
      • Anonimo scrive:
        Re: man in the middle?
        - Scritto da: Anonimo

        - Scritto da: koby

        O sbaglio qualcosa?

        No, non sbagli. Però io banca posso non accettare
        connessioni provenienti da "unicreditsbanca"...
        ed è molto più semplice centralizzare i controlli
        piuttosto che spalmarli su tutti i clienti. :pE qui entra in gioco l'IP spoofing......morale della favola: bisogna conoscere più di una tecnica di exploit per attaccare il sistema, ma si può fare @^
        • Anonimo scrive:
          Re: man in the middle?
          - Scritto da: Anonimo
          ma si può fare @^Naaaa più diventa complesso e meno verranno a rompere i coglioni alla gente comunque. Il vantaggio è nel basso costo dell'impresa. Se diventa una cosa troppo complessa allora meglio tornare alla sana e vecchia rapina allo sportello ;)
  • koby scrive:
    Altra possibile soluzione, più semplice
    Ma perchè le banche non distribuiscono insieme ai dati per l'accesso web, un cd con una distribuzione linux su misura con il certificato della banca (ed eventualmente del cliente) e il link con l'IP, invece del nome di dominio con anche qualche controllo in più come può essere fornito da qualche estensione di firefox?Oppure con un DNS fisso di cui si fidano.Il cd, poi, potrebbe anche contenere dei browser preconfigurati (per più sistemi operativi) sempre con il link con l'IP della banca, da fare partire direttamente dal sistema operativo preferito. In questa modalità rimane il rischio di trojan già presenti sul sistema, ma si eliminerebbe buona parte dei problemi.
    • Anonimo scrive:
      Re: Altra possibile soluzione, più semplice
      Potrebbero anche sviluppare dei sistemi proprietari ma se vedi che le banche attuali non sono neanche capaci di realizzare normali siti web decentemente...
      • koby scrive:
        Re: Altra possibile soluzione, più sempl
        Io ho esperienza di tre banche.La prima solo online con cui mi sono trovato benissimo, ha cambiato le condizioni contrattuali e me ne sono andato...La seconda sempre solo online di cui sono correntista ora e mi trovo benissimo. Il sito mi pare strutturato bene, oltre ad essere leggero e veloce.La terza è una banca non solo online di cui è correntista mio padre che ogni volta ha bisogno d'aiuto perchè hanno un sito molto poco user friendly.Comunque il concetto è che qualche buona implementazione di web banking c'è, a mio parere.
    • Anonimo scrive:
      Re: Altra possibile soluzione, più sempl
      - Scritto da: koby
      Ma perchè le banche non distribuiscono insieme ai
      dati per l'accesso web, un cd con una
      distribuzione linux su misura con il certificato
      della banca (ed eventualmente del cliente) Costerebbe troppo fare un cd personalizzato per ogni cliente, alle banche interessa acchiapparli gli spicci, mica scucirli e cmq non sarebbe neppure questa una soluzione sicura. Se una cosa simile funzionasse e prendesse piede sarebbe sufficiente che qualche cracker realizzasse un programma in grado di rippare il cd, farne un'img e poi spedirla via rete (il che con le linee attuali sarebbe possibilissimo) e dato che sarebbero ben pochi coloro che utilizzerebbero quel cd dal boot (mentre invece tutti si affiderebbero al "buon" vecchio windoz) x la vers. linux sarebbe come passare la carta di credito al negoziante che la clona sotto il bancone.
    • DomFel scrive:
      Re: Altra possibile soluzione, più sempl
      Gia' certo, e magari all'utonto gli chiedi di aggiornare il bios della mobo perche' non supporta il boot da cd... Ma che soluzione e'??? Poi alla nonna di 60 anni gli dici di aprire Konqueror e installare il tarball di Flash Player perche' non e' messo di default... Oppure mi copio un backup del cd (con i miei dati gia' schiaffati dentro secondo la tua geniale idea), e lo lascio a lavoro/uni. Dopo circa 24ore scopro che un pirla a 1000km di distanza legge a quanti siti porno mi sono abbonato, e magari si copia pure i dettagli dell'account.Mavaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
    • ryoga scrive:
      Re: Altra possibile soluzione, più semplice
      - Scritto da: koby
      Ma perchè le banche non distribuiscono insieme ai
      dati per l'accesso web, un cd con una
      distribuzione linux su misura con il certificato
      della banca (ed eventualmente del cliente) e il
      link con l'IP, invece del nome di dominio con
      anche qualche controllo in più come può essere
      fornito da qualche estensione di firefox?
      Oppure con un DNS fisso di cui si fidano.
      Il cd, poi, potrebbe anche contenere dei browser
      preconfigurati (per più sistemi operativi) sempre
      con il link con l'IP della banca, da fare partire
      direttamente dal sistema operativo preferito. In
      questa modalità rimane il rischio di trojan già
      presenti sul sistema, ma si eliminerebbe buona
      parte dei problemi.Ma che c'entra?????Si sta parlando dei problemi di phishing se non sbaglio...cioe' di quelle tentate truffe che avvengono via email, dove ti convincono a cliccare sul loro link ( che in apparenza porta alla banca ) e da li in poi e' tutto un problema web.Quindi Windows non c'entra nulla, gli antivirus possono far ben poco e il firewall altrettanto.Mi sa che te invece di osannare tanto Linux ( che e' un ottimo sistema...per carità!! ), dovresti toglierti un attimo quel vangelo dalla bocca e cominciare a postare commenti utili e non solo sponsorizzazioni al tuo sistema operativo preferito.Senza rancore
      • Anonimo scrive:
        Re: Altra possibile soluzione, più sempl
        E tu, magari leggere meglio prima di rispondere. Chiaramente Linux è la prima soluzione che mi è venuta in mente perchè a costo zero, facilmente configurabile e può stare su un minicd. L'ultima che mi potrebbe venire in mente e windows che non ha i suddetti vantaggi. Nonostante questo non ho proposto alcun sistema operativo perchè non era quello il punto. Ma evidentemente questo ti era sfuggito...
        • koby scrive:
          Re: Altra possibile soluzione, più sempl
          Ok errore. Ho pensato e detto distribuzione Linux :). Comunque il concetto espresso prima non cambia. Non è importante che sistema operativo, ma dare la possibilità al cliente inesperto di collegarsi in sicurezza. Questo non significa che debba essere l'unica soluzione per collegarsi, ma una in più per il cliente che non sta col computer sempre acceso, ma lo accende per un uso specifico. Quando deve collegarsi alla banca pernde il cd lo ficca nel pc e va tranquillo. I problemi dell'impossibilità di avviarlo perchè il bios della scheda madre non lo permette... bhe, mi sembra che diventi sempre più remota. Entro 5 anni, credo che la percentuale di pc che non partono al volo da cd, possa essere considerata una minoranza.
    • francescor82 scrive:
      Re: Altra possibile soluzione, più semplice
      Sì, e così quando devi andare sul sito della tua banca devi riavviare il computer... ma dai! :-DSono un utente convinto di GNU/Linux, ma qui non è problema di sistema operativo, è problema di cascare in trucchetti come il phishing! Basta usare un qualsiasi browser e scrivere manualmente l'URL, oppure meglio salvarlo nei preferiti.P.S.: Non è che sei un winaro pagato apposta per far finta di essere un estremista linuxaro? (rotfl)
    • vale56 scrive:
      Re: Altra possibile soluzione, più semplice
      - Scritto da: koby
      Ma perchè le banche non distribuiscono insieme ai
      dati per l'accesso web, un cd con una
      distribuzione linux su misura con il certificato
      della banca (ed eventualmente del cliente) e il
      link con l'IP, invece del nome di dominio con
      anche qualche controllo in più come può essere
      fornito da qualche estensione di firefox?
      Oppure con un DNS fisso di cui si fidano.
      Il cd, poi, potrebbe anche contenere dei browser
      preconfigurati (per più sistemi operativi) sempre
      con il link con l'IP della banca, da fare partire
      direttamente dal sistema operativo preferito. In
      questa modalità rimane il rischio di trojan già
      presenti sul sistema, ma si eliminerebbe buona
      parte dei problemi.Tranne quelli che ci sono tra la tastiera e lo schermo.NESSUN Browser e NESSUN SISTEMA OPERATIVO può impedire che un utente vada su un sito farlocco, specialmente se è uno dei primi che lo fa e il sito non è encora entrato nei rating di Phishing
  • Anonimo scrive:
    Remote bankink BNL, PERFETTO e sicuro..
    Mah, secondo me hanno avuto l'idea migliore...Un token che ad ogni pressione di apposito tastino ti fornice una password.La devi mettere per entrare e "rimettere" per "eseguire" le operazioni...Negli anni ho provato diversi homebanking, da quelli acrocchiati a quelli che ti installano proxi SSL malati e non funzionanti, i di file di password, i foglietti con le password a perdere, etc etc...Questa e' la soluzione FINALE.Solo che presuppone un MICRO investimento da parte della banca, cioe' "fornirti" il cippolo che ti da le password in modo sincronizzato col server....Personalmente non cambierò banca fino a che potro utilizzare questa soluzione.E tutto il resto mi paiono "blinde" che non risolvono nulla ma rimandano il problema...http://www.e-familybnl.it/efamilymain/index.jhtml
    • Anonimo scrive:
      Re: Remote bankink BNL, PERFETTO e sicuro..
      Ottimo sforzo ma se funziona producendo id tutti validi in qualsiasi momento (fino a quando non vengono utilizzati) basta trovare l'algoritmo generatore, se fa password una dietro l'altra secondo uno schema si può analizzare il circuito, mi sembra che ci siano di sistemi che utilizzano la fisica quantistica, o forse sono solo allo stadio di teoria...
      • Anonimo scrive:
        Re: Remote bankink BNL, PERFETTO e sicur
        seee nnaaaamo....
      • Anonimo scrive:
        Re: Remote bankink BNL, PERFETTO e sicur
        http://www.rsasecurity.com/node.asp?id=1157
        • Anonimo scrive:
          Re: Remote bankink BNL, PERFETTO e sicur
          Beh si potrebbe analizzare il chip no? Sicuramente meglio di protezione "via pop-up", comunque... :D
          • Anonimo scrive:
            Re: Remote bankink BNL, PERFETTO e sicur
            Credo che generino una coppia di chiavi pubbliche/private RSA, e la "password" non è altri che la passfrase :)
    • DomFel scrive:
      Qual'e' la differenza...
      ...quindi tra un fogliettino di carta e il generatore di chiavi?? E' da un po' che uso SiteKey sul mio conto, ma sinceramente non aspetto altro di usare il mio lettore di impronte digitali dell'IBM. Naturalmente anche quello potrebbe essere falsato. La soluzione BNL e' come quella di Telecom per alcuni dipendenti che offre un generatore di chiavi random RSA ogni 10sec. Quando lo frego a mio padre ho accesso alla loro intranet. Tanta tecnologia, poco effetto.
      • Anonimo scrive:
        Re: Qual'e' la differenza...
        - Scritto da: DomFel
        Quando lo frego a mio padre ho accesso alla loro
        intranet. Tanta tecnologia, poco effetto.Se tuo padre si è fatto fregare da te il PIN, c'è poco da inventarsi... Se mi rubano il libretto degli assegni, o denuncio la loro scomparsa, oppure mi tengo il conto svuotato!Il punto è che con questo sistema se anche fregano il PIN non possono operare senza avere anche il "marchingegno": Something you have and something you know.
    • Anonimo scrive:
      Re: Remote bankink BNL, PERFETTO e sicuro..
      - Scritto da: Anonimo
      Mah, secondo me hanno avuto l'idea migliore...Ti ringrazio. E' stata una mia personale vittoria, dato che fin da quando sono entrato, nel lontano 2001, non ho fatto altro che cercare di fargli abbandonare il mondo dei certificati digitali a favore di questa soluzione.Fra l'altro non è la prima banca che ho "securizzato" in questa maniera. La prima banca italiana a far uso di questo sistema è staa Bankyou (www.bankyou.it) del gruppo Popolare Bergamo/BPU nel 2000.
      Questa e' la soluzione FINALE.No, non lo è. E' un passo verso un sistema di sicurezza integrato. Vi posso assicurare che nel campo dell'"Auditing" si stanno facendo grandissimi passi avanti nei controlli in real-time.
      Solo che presuppone un MICRO investimento da
      parte della bancaFidati, ho visto i costi, il micro investimento è molto più micro di quello che si possa pensare. E' di dominio pubblico che in BNL stiamo risparmiando un fracasso di soldi con questo sistema.
      Personalmente non cambierò banca fino a che potro
      utilizzare questa soluzione.Grazie della fiducia accordataci. :D
      • Anonimo scrive:
        Re: Remote bankink BNL, PERFETTO e sicur
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        Mah, secondo me hanno avuto l'idea migliore...

        Ti ringrazio. E' stata una mia personale
        vittoria, dato che fin da quando sono entrato,
        nel lontano 2001, non ho fatto altro che cercare
        di fargli abbandonare il mondo dei certificati
        digitali a favore di questa soluzione.

        Fra l'altro non è la prima banca che ho
        "securizzato" in questa maniera. La prima banca
        italiana a far uso di questo sistema è staa
        Bankyou (www.bankyou.it) del gruppo Popolare
        Bergamo/BPU nel 2000.


        Questa e' la soluzione FINALE.

        No, non lo è. E' un passo verso un sistema di
        sicurezza integrato. Vi posso assicurare che nel
        campo dell'"Auditing" si stanno facendo
        grandissimi passi avanti nei controlli in
        real-time.


        Solo che presuppone un MICRO investimento da

        parte della banca

        Fidati, ho visto i costi, il micro investimento è
        molto più micro di quello che si possa pensare.
        E' di dominio pubblico che in BNL stiamo
        risparmiando un fracasso di soldi con questo
        sistema.


        Personalmente non cambierò banca fino a che
        potro

        utilizzare questa soluzione.

        Grazie della fiducia accordataci. :DTi confermo che il sistema è davvero comodo e semplice da usare.Occorre stare attenti a non perdere il portachiavi dove è attaccato il generatore di chiavi !Prima abbiamo dovuto sorbirci il securproxy e il multicertify (non mi ricordo esattamente ...) ed era scomodissimo. Poi questo PASS BNL ha sostituito anche la carta di telebanca.Adesso è davvero comodo e secondo me più sicuro dei sistemi di login con password che chiedono due cifre a caso della pwd.
    • Anonimo scrive:
      Re: Remote bankink BNL, PERFETTO e sicuro..
      - Scritto da: Anonimo
      Mah, secondo me hanno avuto l'idea migliore...
      Un token che ad ogni pressione di apposito
      tastino ti fornice una password.
      La devi mettere per entrare e "rimettere" per
      "eseguire" le operazioni...Mi fai un esempio pratico di una sessione dal login all'operazione dispositiva ?
      • Anonimo scrive:
        Re: Remote bankink BNL, PERFETTO e sicur
        - Scritto da: Anonimo
        Mi fai un esempio pratico di una sessione dal
        login all'operazione dispositiva ?Nulla di più semplice.E-familyEntri mettendo il tuo identificativo, pin e passcode (generato automaticamente ogni 60 secondi)Poi il dispositivo lo fai re-inserendo il pin e il nuovo passcodeTelebancaEntry mettendo il tuo identificativo 2 numeri a caso del pin e il passcodeLa disposizione, che fai tramite un operatore di sportello e con comunicazione registrata comprensiva del telefono da cui chiami, semplicemente dando di nuovo il passcode.
        • Anonimo scrive:
          Re: Remote bankink BNL, PERFETTO e sicur
          Dimenticavo, quando usi un codice, viene bruciato, quindi se anche venisse intercettato, non può essere ri-usato
  • Anonimo scrive:
    Ma la chiave dispositiva?
    BancoPostaOnline richiede username e password per entrare e guardare il saldo e la lista movimenti. Per operazioni dispositive, però, è necessario un secondo codice. In questo modo, se mi beccano la password di login, al massimo possono sapere quanti soldi ho sul conto (e farsi quattro risate :'( )Le banche non usano questo sistema?
    • Anonimo scrive:
      Re: Ma la chiave dispositiva?
      - Scritto da: Anonimo
      BancoPostaOnline richiede username e password per
      entrare e guardare il saldo e la lista movimenti.
      Per operazioni dispositive, però, è necessario un
      secondo codice. In questo modo, se mi beccano la
      password di login, al massimo possono sapere
      quanti soldi ho sul conto (e farsi quattro risate
      :'( )

      Le banche non usano questo sistema?Veramente veniva richiesta anchela pwd dispositiva ed in molti l'hanno fornita...
  • Anonimo scrive:
    Effettivamente basterebbe la seconda...
    ...parte del nuovo processo di sicurezza: le domande !Il phishing si basa sul fatto che l'utente p...a gli comunichi i dati della carta di credito, ma nel caso delle domande (che andrebbero stabilite in banca e non via online) non potrebbe rivolgere il quesito: "Sappiamo che ha stabilito delle domande e delle risposte, le spiacerebbe comunicarcele entrambe ??"Un utente non dovrebbe essere solo pir.. per cascarci ma proprio da interdizione :|
    • Anonimo scrive:
      Re: Effettivamente basterebbe la seconda
      E' vulnerabile all'attacco MAN IN THE MIDDLE come gia' spiegato in un post di questo thread.Inoltre piu' cose uno deve digitare piu' e' facile che sbagli/dimentichi e questo genera costi alla banca che deve gestire un sistema di ripristino per gli smemorati.
Chiudi i commenti