Token


Il caso a volte assume strane forme, ma in fondo forse non è per caso se ieri sono venuto in possesso di un token sia per il mio conto Bancaintesa che per quello IWBank.

Entrambi sono stati emessi gratuitamente, Bancaintesa mi ha invitato in filiale a ritirarlo, mentre IWBank me lo ha spedito per posta, e questo secondo, per puro caso,  è arrivato proprio il giorno in cui sono andato a ritirare il primo.

Se vi state chiedendo cosa diavolo sia un token vi dirò che si tratta di un apparecchietto elettronico, con dimensioni simili a quelle di un telecomando per auto o per cancelli, e leggermente più grande di una chiavetta USB, che ha l’unico scopo di generare password.

In pratica premendo un bottoncino presente sul token appare nel piccolo display dell’oggettino una password da poter utilizzare per accedere al servizio associato a quel token, in questo caso il conto corrente online. L’aggeggio è fatto in modo da generare codici non in maniera casuale, ma secondo una regola che è conosciuta solo dal server del servizio associato, legata al momento in cui generate la password. In questo modo vengono utilizzate ogni volta password diverse che garantiscono l’utente contro eventuali intercettazioni della password da parte di spyware o trojan.

Se anche la password fosse intercettata non sarebbe utilizzabile. Questo tipo di password viene chiamato OTP (One Time Password) proprio per sottolineare il fatto che ogni password generata viene utilizzata una sola volta e poi perde di validità.

Per accedere al conto online non basta comunque la OTP, ma è necessario anche conoscere ed utilizzare la classica coppia user / pin che normalmente sarebbe sufficiente per la verifica di sicurezza.

In questo modo chi dovesse intercettare e tracciare la vostra sessione internet non potrebbe comunque violare il vostro conto (perché non ha l’apparato per generare una nuova OTP), mentre se vi rubassero o se smarriste il token con il quale vengono generate le OTP, questo non sarebbe da solo sufficiente ad accedere al conto, perché manca la conoscenza della coppia user / pin.

In sintesi, la protezione del conto corrente utilizzando questo piccolo apparato elettronico diventa molto più forte e difficilmente violabile.

La mole di attacchi phishing, la quantità di spyware e trojan diffusa ogni giorno e il buon senso, stanno spingendo le banche a prendere provvedimenti, e l’introduzione del token è senz’altro una buona notizia per noi utenti.

Questo rende ancora più assurda la posizione di Fineco che continua ad ignorare totalmente il problema e rischia in breve di diventare l’unica banca che affida la sicurezza delle sue applicazioni ad uno strumento arcaico come l’accesso controllato da user e password.

E per quella che altrimenti sarebbe la miglior banca online d’Italia si tratta di una grave mancanza.

PS Il token che mi ha inviato IWBank non è quello dell’immagine, ma un altro privo di porta USB e comunque perfettamente funzionante.

PPS Esisto comunque una serie di tecniche con le quali è possibile violare un accesso protetto da token, ma la sicurezza di un conto che lo utilizza è decisamente più alta di uno che basa il controllo solo sull’uso di user e password per l’accesso.

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: