Sicurezza poste on-line, cosa ne pensate?

[Swalke]

Ciao a tutti.
Mi rivolgo soprattutto alle persone che hanno un conto banco posta on-line.

Cosa ne pensate del fatto che quando date la disposizione di un pagamento vi vengono chieste 4 cifre in posizione casuale delle 10 cifre segrete?
Ma soprattutto cosa ne pensate del fatto che se sbagliate a inserirle vi vengono richieste le stesse di prima???

La cosa me l'ha fatta notare una mia amica ieri... ...io neanche ci avevo fatto caso.
Sono andato subito a verificare ed è così!!!
Mi ha detto un'altra cosa ancora più allarmante di cui però non posso verificare la verità.

Intanto rispondete a questo
A presto!

[mony1979]

Confermo e sottoscrivo. E aggiungo anche dell'altro! Che è ben più grave direi!
Vengono richieste le stesse 4 cifre..ma non sempre! Il mio ragazzo ha il conto bancoposta online e a lui le cifre richieste cambiano ogni volta anche in caso di annullamento dell'operazione o di errore.
Quando mi sono accorta di questo comportamento "strano" ho segnalato la cosa all'assistenza di poste.it..dopo parecchi "rimbalzi" e parecchie mail e telefonate di protesta mi hanno finalmente messa in contatto con il "supporto tecnico". Quando gli ho spiegato il problema loro, dopo avermi prospettato soluzioni divertentissime tipo "ha provato a spegnere il computer e riaccendere?" o anche "no ma a volte cambiano e a volte no" sono finalmente riuscita a parlare con un tizio che mi ha confermato che effettivamente le cifre normalmente dovrebbero cambiare e che il comportamento era anomalo. Mi hanno quindi disattivato l'account e fatto una richiesta di attivazione del tutto nuova in modo da azzerare e ripartire in un contesto "pulito".

Ho aspettato quindi i soliti 10-15 giorni per ricevere il nuovo codice di attivazione e la busta chiusa con all'interno le 10 cifre del codice di sicurezza per fare operazioni online sul conto.

Immaginatevi la mia sorpresa quando dopo un paio di giorni dal ricevimento della prima busta chiusa, ne ricevo un'ALTRA! Con lo stesso numero progressivo sulla busta! La apro, pensando ad una doppia spedizione per errore..e ulteriore sorpresa..il codice all'interno era uguale TRANNE CHE per UNA CIFRA! (Generatore "random" fatto coi piedi?)
Al che prendo tutto e vado all'ufficio postale presso cui ho attivato il conto. L'impiegato ha chiamato "l'esperto" della parte informatica (che penso fosse il vicedirettore della filiale) io gli faccio vedere le due buste e lui mi dice "Nooo ma è molto strano perché queste buste vengono stampate dalle macchine che generano i codici..non possono uscire due buste con lo stesso numero davanti!" ..però io le buste le avevo in mano.. e con un codice che all'interno differiva per una sola cifra!!! ...Risposta del tizio "Beh signorina e che problema sarà mai, quando le sarà richiesta proprio quella cifra lei prova con quella che le è arrivata nella prima busta! Se non funziona vorrà dire che è quella della seconda no?"...

Ovviamente non ho MAI PIU FATTO operazioni online sul conto..accedo soltanto per vedere la lista dei movimenti..e appena riuscirò ad averne il tempo CAMBIERO' BANCA!!!

Mony

[vampirodolce1]

Quote:

Originariamente inviato da mony1979

Ovviamente non ho MAI PIU FATTO operazioni online sul conto..accedo soltanto per vedere la lista dei movimenti..e appena riuscirò ad averne il tempo CAMBIERO' BANCA!!!

Mony

Ahh quante storie, sono anni che uso il bancoposta, anche da Windows, e non ho avuto mai problemi.
Comunque a breve arriveranno le macchinette OTP.

[Swalke]

vampirodolce1, innanzi tutto sarebbe bello capire perchè reputi che siano "storie".
Sparare a zero senza dare motivazioni sono capaci tutti.

Basta provare a fare un pagamento per vedere che le 4 cifre che chiede sono sempre le stesse (sbagliano a inserirle o facendo refresh).

Vorrei capire tu, di quali problemi stai parlando. Noi parliamo di sicurezza, non del fatto che una persona non riesca a portare a termine la procedura di pagamento usando Windows o Linux.

[vampirodolce1]

Che problema c'e' se i 4 caratteri richiesti sono uguali ai precedenti?
Non si puo' decidere di cambiare una banca o rifiutarsi di effettuare operazioni on-line per problemi tutto sommato marginali o perche' l'assistenza telefonica e' di basso profilo. Una banca la si sceglie in base ad altri fattori, le condizioni economiche, la diffusione degli sportelli, ecc.

La sicurezza va cercata in altri modi... sappiamo tutti che se c'e' un keylogger sul pc i caratteri del codice di controllo possono anche cambiare, ma prima o poi verranno captati tutti.
Lo sparare a zero mi sembra contro le poste, cosa che spesso si fa a sproposito. E magari chi critica e' il classico utente (per carita' non tutti) che clicca sulle e-mail di phishing e ha il computer impestato di virus... quindi se succede qualcosa all'account potrebbe non essere colpa del codice di controllo, che nel quadro generale e' solo un dettaglio.

[mony1979]

Beh..allora:

Quote:

Che problema c'e' se i 4 caratteri richiesti sono uguali ai precedenti?

..beh è un bel problema per un sistema di "sicurezza" che tra l'altro consente di gestire denaro. Vuol dire che l'analisi del sistema e della protezione dei dati non è stata fatta bene..quantomeno non accuratamente. Direi che è tutto tranne che un dettaglio.
Vogliamo parlare di "dettagli"? Quale sistema di accesso BLOCCA la lunghezza della password a 10 caratteri? Beh quello delle poste..l'ho notato quando ho modificato la mia prima password. Ho pensato "vabbè..tanto username e password posso cambiarli spesso e alla fine fanno accedere solo alla "visualizzazione" dei dati"..poi però pensandoci..a voi sembra un dettaglio?
Onestamente a me no. Chi accede con username e password vede tutti i dati sensibili del correntista, accede alla sua casella di posta su poste.it..insomma mi sembra che non abbia molto senso il "blocco" ad un massimo di 10 caratteri per un sistema che deve proteggere dati così sensibili! In genere il blocco è sul MINIMO di caratteri ma sul massimo è abbastanza strano no?

Per quanto riguarda invece la scelta della banca, beh considerato che io non ho tempo di andare in banca a fare le varie operazioni di cui ho di volta in volta bisogno, la validità della parte di "conto online" e di conseguenza anche la validità del supporto tecnico e degli standard di sicurezza adottati direi che possono e devono essere un criterio di scelta.

Quote:

"Lo sparare a zero mi sembra contro le poste, cosa che spesso si fa a sproposito. E magari chi critica e' il classico utente (per carita' non tutti) che clicca sulle e-mail di phishing e ha il computer impestato di virus... quindi se succede qualcosa all'account potrebbe non essere colpa del codice di controllo, che nel quadro generale e' solo un dettaglio."

Ok..ti rispondo con due cose veloci: la prima è che chiunque sia l'utente che ha problemi, non si merita certo di avere un servizio di supporto tecnico scadente. Le analisi sui sistemi di sicurezza non possono partire dal presupposto di avere come utenti solo esperti di pc, le analisi si devono basare sul comportamento dell'utente "medio" che è quello che clicca sulle mail di phishing e che magari ha pure qualche virus sul pc.
Per quanto mi riguarda sono laureata in informatica con una specializzazione in sicurezza delle reti, lavoro da sei anni a Milano come analista sviluppatore, non clicco sulle mail di phishing e non ho il pc infestato da virus.

[Swalke]

Quote:

Una banca la si sceglie in base ad altri fattori, le condizioni economiche, la diffusione degli sportelli, ecc.

...no comment.

[vampirodolce1]

Quote:

Originariamente inviato da Swalke

...no comment.

Infatti sto chiudendo il BPOL perche' ho trovato una banca che mi fa pagare commissioni bassissime per i miei investimenti.

[W.S.]

Ognuno ha le sue priorità, c'è chi sceglie la banca solo in base agli interessi/spese e altri che pretendono anche un sistema di sicurezza affidabile ed un'assistenza affidabile.

Un keylogger non può fare nulla contro un sistema di autenticazione decente, un codice fisso di 10 cifre non lo è, non lo sarebbe nemmeno se chiedesse sempre cifre in psizioni casuali.

Il fatto delle 2 lettere con una sola cifra diversa è allucinante.. ma ho capito bene? Non c'ho mai avuto a che fare, come funziona la cosa? Hai un login e la password te la inviano loro sotto forma di 10 caratteri casuali e ti sono arrivate 2 password con un solo carattere diverso? L'autenticazione avviene solo con login + password (parte della password)?

[mony1979]

Quote:

Un keylogger non può fare nulla contro un sistema di autenticazione decente, un codice fisso di 10 cifre non lo è, non lo sarebbe nemmeno se chiedesse sempre cifre in psizioni casuali.

Su questo sono d'accordissimo!!

Quote:

Il fatto delle 2 lettere con una sola cifra diversa è allucinante.. ma ho capito bene? Non c'ho mai avuto a che fare, come funziona la cosa? Hai un login e la password te la inviano loro sotto forma di 10 caratteri casuali e ti sono arrivate 2 password con un solo carattere diverso? L'autenticazione avviene solo con login + password (parte della password)?

Allora in pratica funziona così:
Il login viene effettuato tramite username+password scelte dall'utente..(password bloccata ad un MASSIMO di 10 caratteri.. ) e questa autenticazione consente di accedere a tutti i dati utente, compreso l'indirizzo fisico, tutti i suoi dati sensibili e compresa anche la visualizzazione della sua situazione bancaria. Per autorizzare i movimenti di denaro invece vengono richieste queste 4 cifre prese "casualmente" da un codice di 10 cirfre che viene inviato a casa in una busta in carta carbone, tipo quelle con le quali assegnano i codici segreti delle carta di credito. Queste buste sono sigillate e vengono stampate e chiuse direttamente da una macchina che poi è quella da cui vengono generati i codici randomici. Queste buste escono con cifre progressive stampate sul davanti e non ci possono essere due buste con lo stesso numero, come mi ha spiegato personalmente la persona dell'ufficio postale con cui ho parlato..poi però siccome io le due buste con lo stesso numero le avevo in mano, anche lui non sapeva più che pesci prendere Senza considerare poi che due buste uscite probabilmente in sequenza da un generatore di numeri "casuali" si differenziavano nel codice interno per una sola cifra , il che mi fa sorgere grossi dubbi sul concetto di "casuale" che hanno alle poste..

[W.S.]

Capito. Già, la cosa lascia parecchio perplessi, mi fa ricordare una vignetta bellissima

[mony1979]

Quote:

Originariamente inviato da W.S.

Capito. Già, la cosa lascia parecchio perplessi, mi fa ricordare una vignetta bellissima

Meravigliosa

[Paky]

finalmente ci hanno messo una pezza
oggi sono andato a ritirare il lettore

[SharkTear]

Comodo... soprattutto per la trasportabilità dell'oggetto...
Ma usare una piccola chiavetta come tutte le altre banche no?? O magari un sistema con gli sms... gli sarebbe costato meno e sarebbe bastato avere il cellulare con se... Adesso se per caso volessi fare un pagamento mentre sono a lavoro, se non ho il lettore dietro mi attacco al tram...

[Paky]

già , l'unico svantaggio è quello ,bisogna averlo sempre dietro

cmq è piccolo e sottile

[xcdegasp]

e tra un po' vi spediscono pure il lettore biotronico formato scrivania per certificare la vostra presenza in casa prima d'eseguire l'ordine

queste sono solo gingilli per inoculare falsa sicurezza in chi non è pratico con l'informatica, altri sistemi molto più economici permettono un maggiore livello di sicurezza senza rendere meno la mobilità e immediatezza oltre alla facilità

[Paky]

però c'è da dire che il sistema è laborioso ma non così falso

per effettuare un pagamento ora c'è bisogno di

-avere la card chippata
-avere il suo PIN
-il lettorino
-la password di login al sito

è un bel casino per chi vuol fregarti i soldi

[last boy scout]

modifico una domanda posta male... mi iscrivo comunque alla discussione.... sorry