Online accounts security: users are the weakest link
February 08, 10 by Mark75Security is extremely important in an online bank account, to the point that some users worried about it avoid using an online bank, even when it would be cheaper and more effective for their needs. Yet, users appear to be the weakest link in the “security chain”, since quite often they do not pay enough attention to their behaviour.
A Trusteer research shows that a significant number of online bank customers, uses the same password to access the online account and less critical services, such as forums. This may appear a minor sin, but it paves the way to identity thefts, since non-critical website do not protect data in the same way as banks do. So, it would be possible to steal passwords from a forum and use them to access a bank account — and remember that this kind of attacks are conducted automatically and in wide scale, so the odd are relevant.
The lesson is the same of the one we often highlighted for finance in general: surely there is the need to improve things, but the user/customer must improve his knowledge and pay more attention on what he is doing.
BankNoise.com [http://www.banknoise.com]
Related Posts:
- (Italiano) Security of internet banking: bank ranking
- (Italiano) Italy: one in three bank accounts is online
- Bank of Italy publishes practical guides to bank accounts and mortgages
- (Italiano) Information security (and much more)
- (Italiano) When it's better not to choose an online bank account?
Sicurezza dei conti online: gli utenti non prendono le dovute precauzioni?
diatarn_iv Says: 09.02.10 at %I:%M %p
Che non si debba usare per il mio conto in banca la stessa password che uso per andare su flickr o facebook ci sta.
Ma non diamo la colpa solo agli utenti. Un esempio molto pratico.
Nel 2004 sono andato a lavorare in Olanda ed ho dovuto aprire un cc da quelle parti.
Gia’ nel 2004 la procedura per accedere conto prevedeva (e prevede) una password sempre diversa ad ogni collegamento. Funziona cosi’. Ci si collega al sito della banca e si fornisce il proprio numero di conto; la banca verifica l’identita’ visualizzando un codice (sempre diverso) e un campo in cui inserire la “risposta” (che e’ dipende dal codice visualizzato). L’utente a casa ha una specie di “calcolatrice” dove puo’ infilare la tessera del bancomat: quando lo fa, la “calcolatrice” ti chiede il PIN e se questo e’ corretto, si attiva. Sulla “calcolatrice” attiva si digita il codice che e’ apparso sullo schermo e la calcolatrice fornisce la “risposta”. Si copia questa “risposta” nell’apposito campo e a questo punto il sistema ha “verificato” la tua identita’ e ti lascia vedere il cc; senza bisogno di password (ovviamente, la “risposta” ha la stessa funzione di una password; ma e’ sempre diversa e quindi anche se venisse intercettata il “ladro” non se ne farebbe nulla).
Questo sistema ha qualche vulnerabilita’ (credo che la + grave sia che in caso di furto del bancomat il cc e’ “protetto” solo dal PIN del bancomat stesso, visto che le “calcolatrici” son tutte uguali e non e’ difficile procurarsene una) ma certo e’ molto piu’ sicuro di quello basato su una password sempre uguale, che puo’ essere “rubata” in 1000 modi (trojan horses, phishing ecc.), spesso senza che l’utente nemmeno se ne accorga.
Anche dal punto di vista organizzativo, non mi sembra particolarmente complicato o costoso. Ora, perche’ in Olanda veniva utilizzato gia’ nel 2004 mentre da noi siamo ancora alla password?
AleZ Says: 09.02.10 at %I:%M %p
In realtà, da quello che capisco mi pare che il sistema “Olandese” sia una brutta copia di quello basato su token, che ha lo stesso funzionamento ma non può essere utilizzato per accedere a conti di altri clienti (mi pare che la “calcolatrice” invece lo consentirebbe).
Il token credo sia lo strumento più diffuso per l’accesso al conto (almeno da parte delle banche “serie”): la sola accoppiata username+password mi pare sia usata solo da qualche conto di deposito (Rendimax e Contoconto per fare nomi), dove però un malintenzionato potrebbe fare poco, dato che sono possibili solo movimenti da e verso il conto predefinito.
diggita.it Says: 09.02.10 at %I:%M %p
Sicurezza dei conti online: gli utenti non prendono le dovute precauzioni?…
La sicurezza è un aspetto altamente importante per i conti bancari online, ed è una delle principali preoccupazioni degli utenti. Almeno a parole, perché in realtà sembrerebbe che siano molti gli utenti che con il loro comportamento rischiano di vanifi…
Manuel Says: 09.02.10 at %I:%M %p
Ma il problema è anche la corsa alla sicurezza, secondo me. Per esempio, a me da qualche tempo al lavoro mi costringono a cambiare la password ogni tre mesi. Risultato: prima, ho usato la stessa password “discreta”, per 5 anni, adesso uso password “stupide”, perché non riesco ad usare qualcosa che riesca a memorizzare e sia sicuro. E vedo miei colleghi che si scrivono la password su un post-it perché sennò se la dimenticano…
Francesco Says: 11.02.10 at %I:%M %p
La continua richiesta di password nuove è una cosa assurda. Si sa benissimo che la password (appena viene scoperta) viene usata sul CC per spostare denaro.
Il metodo olandese è in attuazione presso PosteItaliane. I loro CC fino al 2009 erano protetti solo da password e sono stati oggetto di molti attacchi phishing (soprattutto perchè i CC Bancoposta sono molto diffusi).
Secondo me è sufficiente oltre alla passwd avere un altro sistema: calcolatrice, token, certificato sul pc. Ma questo ha dei costi e non ci si può accontentare di un CC economico basato solo su password.
Inoltre bisogna smettere di inviare email ai clienti con link al proprio sito: si abituano i clienti a cliccare sui messaggi. Inoltre, ogni email dovrebbe contenere Nome/Cognome e una parte del numero del conto (informazione nota solo alla banca)
diatarn_iv Says: 17.02.10 at %I:%M %p
Non sono sicuro di capir bene cosa ALEZ intenda per token, ma in questi giorni alcuni amici mi han detto che la loro banca usa un sistema che concettualmente mi sembra identico a quello della mia banca olandese (ABN-AMRO), per quanto magari utilizzi metodi meno tecnologici come tavole di conversione su carta.
Quanto alla “calcolatrice” (nome ufficiale: e.dentifier) ed alla possibilita’ di accedere al conto di un altro, me l’ero chiesto anchio ed avevo fatto esperimenti con l’aiuto di un altro cliente della stessa banca: il risultato era che l’e.dentifier non influenza le risposte, che invece dipendono solo dal bancomat utilizzato (ovvero: 2 bancomat diversi nello stesso e.dentifier producono codici di accesso diversi; ma lo stesso bancomat in 2 e.dentifier diversi produce sempre gli stessi codici). Quindi non e’ possibile utilizzare l’e.dentifier per accedere al conto di un altro, a meno di avere il suo bancomat (e conoscere il pin del bancomat stesso).
So che adesso stanno introducendo una versione 2 del sistema (non chiedetemi dettagli xche non li conosco), credo per via di alcune vulnerabilita’ (vedi ad es. http://www.roelbroersma.nl/index.php/2007/04/17/abn-amro-security-fails ).
Comunque sia, la mia esperienza e una breve “inchiesta” (certo non rappresentativa) fra amici e parenti mi induce a credere che circa il 50% delle banche italiane usino ancora un sistema basato sulla password (magari complicato da continue richieste di cambiamento; o da password “dispositive” che vanno utilizzate solo per le operazioni che comportino l’esborso di denaro) mentre le altre usano qualche sistema basato sui token.
Per finire, come dice FRANCESCO, Poste Italiane sta facendo la transizione: buon per loro e per i loro clienti.
Ma francamente fa un po’ ridere vedere il loro sito (http://www.poste.it/bancoposta/lettore/index.shtml) che recita “BancoPosta ha creato per te uno strumento semplice e innovativo”…