0 Flares 0 Flares ×

Ripensando al funzionamento dei token, di cui abbiamo parlato poco tempo fa a proposito della Banca Popolare di Vicenza, mi è venuto qualche dubbio sul loro effettivo livello di sicurezza. Mi spiego meglio.

La maggior parte delle banche utilizza token event-based anziché time-based, cioè in cui la password “monouso” generata non dipende da data e ora in cui viene richiesta, ma dall’accadere di un evento, e cioè il fatto che venga richiesta. Tradotto in parole molto semplici, il token contiene una tabella con un elenco di password (che per capirci meglio, immaginiamo che siano una serie di numeri consecutivi anziché casuali):

  1. 000001
  2. 000002
  3. 000003
  4. 000004
  5. 000005

Ogni volta che gli viene richiesto di generare una password, il token “va avanti di una riga” e mostra la successiva password nell’elenco.

Anche il server della banca ha la stessa tabella di password in memoria, e verifica che la password digitata via browser dal cliente sia presente nella tabella. Ma non pretende che sia la password successiva. Cioè se prima avete inserito la password n°2, poi considera accettabile utilizzare per l’accesso anche la password n°4, senza dover utilizzare la 3. Il che è corretto, perché potrebbe essere che la password n°3 l’avete fatta generare al token ma poi avete cambiato idea e avete rinunciato ad accedere al sito della banca, oppure banalmente il tastino per la generazione si è premuto mentre lo avevate in tasca senza che ve ne accorgeste (di solito, quando viene utilizzato un codice tutti quelli precedenti vengono “invalidati”, nel senso che se uso la password n° 5, le password 1,2,3 e 4 non permettono più di accedere al sistema, a prescindere dal fatto che siano effettivamente state utilizzate o meno). Se la banca vi obbligasse ad usare tutti i codici successivi, in un caso come questo rischiereste di non riuscire più ad accedere al vostro conto.

Questo funzionamento però implica che perché il mio codice sia valido non deve essere una specifica riga della tabella, ma semplicemente deve essere presente nella tabella. E quindi (ipotizzando la generazione di password a sei cifre) se “tiro ad indovinare” la probabilità non è una su un milione, ma una su un milione moltiplicato il numero di righe della tabella. Se la tabella ha mille righe, mille codici memorizzati, la probabilità che tirando ad indovinare trovi un numero (una password) che è tra quelli della tabella, è di una su mille.

Certo, non si tratta di un buco di sicurezza tremendo, l’accesso con il token rimane più sicuro che senza, ma credo evidenzi il fatto che il token non è la panacea a tutti i mali e a tutti i pericoli della sicurezza, e l’utente dovrebbe comunque non perdere tutte quelle buone abitudine di attenzione e “prudenza informatica” di cui abbiamo più volte parlato.

Banche e Risparmio [http://www.banknoise.com]

Ricerche Frequenti:

  • mobile token unicredit quanto costa
  • quanto costa un token
  • 10 tokens quanto
  • quanto vale un token
  • quanto vale un tokens
  • quanto viene un token
  • token mobile comè fatto?
banknosie.combanche,banche online,sicurezza,tokenRipensando al funzionamento dei token, di cui abbiamo parlato poco tempo fa a proposito della Banca Popolare di Vicenza, mi è venuto qualche dubbio sul loro effettivo livello di sicurezza. Mi spiego meglio.La maggior parte delle banche utilizza token event-based anziché time-based, cioè in cui la password 'monouso' generata...Opinioni e commenti su economia e finanza, investimenti e prestiti