Sicurezza delle banche online: come funziona il token?

1 Flares 1 Flares ×

Molte banche che offrono conti online stanno introducendo l’uso del cosiddetto “token”. L’ultimo caso è quello di IW Bank, che ha fatto diventare il token obbligatorio (peraltro infastidendo diversi clienti) per accedere ai servizi di home banking, mentre prima era opzionale, e veniva consegnato solo su richiesta. Ma tra le banche che utilizzano il token vi sono anche, tanto per citarne due, SanPaolo e UniCredit. Su spunto di alcune segnalazioni, mi pare interessante approfondire il funzionamento del token nelle applicazioni legate alle banche online.
Perché il token aumenta la sicurezza? Facciamo una premessa. I metodi di autenticazione si dividono in tre macro categorie, in base a come “riconoscono” l’utente:

  • by Something you know (SYK) – “qualcosa che sai” (tipicamente, una password)
  • by Something you have (SYH) – “qualcosa che hai” (in questo caso il token, ma in generale può essere un qualunque oggetto identificabile in modo univoco)
  • by Something you are (SYA) – “qualcosa che sei” (i sistemi biometrici)

Partendo dal presupposto che attualmente è difficile implementare sistemi biometrici per l’accesso tramite internet, e quindi la terza categoria viene automaticamente esclusa, la massima sicurezza si ha quando si combinano le altre due (SYK e SYH). Per fare un esempio, basti pensare al bancomat: se per prelevare fosse sufficiente andare in banca con la tesserina, senza dover conoscere il codice, oppure bastasse conoscere il codice senza dover avere la tessera, è evidente che sarebbe molto più facile che qualcuno “non autorizzato” prelevasse dei soldi.

Il token quindi genera un codice che, poiché viene generato volta per volta, e non può essere riutilizzato, permette ai sistemi di sicurezza della banca di riconoscere che effettivamente chi sta tentando di accedere è in possesso di quello specifico token.
Qui entra in gioco una differenza tra due tipi di token:

  • Quelli “time-based” genera un codice che dipende dalla data e dall’ora, pertanto, il sistema di sicurezza della banca può determinare che chi sta effettuando l’accesso è in possesso in quel momento del token. Il rovescio della medaglia è che per fare ciò il token e server devono utilizzare un algoritmo che generi un codice basato sull’ora. Quindi è teoricamente possibile che, con un adeguato numero di “osservazioni” un terzo possa riuscire a replicare l’algoritmo e a generare il codice senza il token. Soprattutto però crea difficoltà di sincronia, dato che questa va mantenuta tra l’orologio interno del token e quello del server, rendendo necessari ri-allineamenti per poter effettuare l’accesso.
  • Quelli “event-based” generano un codice che dipende “da un evento”, che realtà più comune e più semplice il numero di volte che viene richiesto di generare un codice. Tradotto, vuol dire che il token ha in memoria un elenco di codici, che vengono restituiti in successione man mano che l’utente richiede un codice da utilizzare. Il server ha in memoria la stessa tabella, anche se non “pretende” che tutti i codici vengano utilizzati, ma semplicemente quando viene utilizzato un codice, tutti quelli che lo precedono nella tabella non possono più essere utilizzati. Si tratta di un sistema più semplice che ha il vantaggio di non richiedere potenza di calcolo al token così come di generare codici che non hanno una correlazione tra loro. Lo svantaggio è che non dà la garanzia al 100% che chi inserisce il codice sia in possesso del token in quel momento. In teoria potrebbe essere qualcuno che ha avuto modo di entrare in contatto con il token precedentemente, e generare un codice rimasto valido in quanto il legittimo proprietario non ha effettuato ulteriori accessi al sistema di banking.

In ogni caso, non vi è una categoria di token migliore “in assoluto” dell’altra, e si può dire che contribuiscono in modo significativo alla sicurezza. Non bisogna fare però l’errore di affidarsi solamente al token: è sempre opportuno prestare una certa attenzione alle password che si utilizzano, cercando sì di utilizzare password mnemoniche ma di non essere banali utilizzando password facilmente identificabili o intuibili. Inoltre, è consigliabile cambiare periodicamente la i codici segreti di utilizzo dei servizi di banca online (password e password dispositiva) almeno ogni 6 mesi o un anno, o quando si ha il minimo sospetto che non siano più segreti.

Banche e Risparmio [http://www.banknoise.com]