• Le one-time password via SMS non proteggono dagli errori umani

    Un’operazione di transazione online su cinque sembra vulnerabile ad attacco informatico, se l’utente usa le password inviate sul telefonino.

    Come sappiamo non c’è operazione più delicata che una transazione di denaro online. Delicata nel senso che ogni accortezza e ricerca di protezione informatica è sempre auspicabile. Nel tempo si sono sviluppate tecniche di sicurezza per le password da immettere e per il continuo variare delle stesse.

    Una nuova frontiera di questa ricerca è l’invio della password via SMS. Tuttavia l’utilizzo di password SMS per incrementare le misure di sicurezza nel campo dell’internet banking sembra non convincere la Queensland University of Technology, che con i propri studi rivela che gli utenti non ottengono, come sperato, un miglioramento della sicurezza dei loro account.

    In particolare gli studi hanno evidenziato che i problemi che rendono questa metodologia scarsamente efficace non devono essere ricercati in particolari anomalie tecniche, ma nell’usabilità e nella concezione che l’uomo stesso ha nei confronti del SMS.

    Il meccanismo di protezione utilizzato da molte banche è semplice. Nella maggioranza dei casi infatti viene inviata una one-time password direttamente sul cellulare dell’utente che poi deve occuparsi di copiarla correttamente nell’apposito campo per avviare la transazione. Questo meccanismo viene ripetuto per ogni singola transazione con l’intento di proteggere il più possibile il denaro dell’utente stesso.

    Mohammed AlZomai, dell’Information Security Institute, ha detto che gli utenti non ricevevano alcuna notifica quando il numero di conto bancario nel messaggio SMS non era stato lo stesso del numero di conto atteso dalla banca.

    Ovviamente lo studio si è sviluppato anche in una parte sperimentale nella quale alcuni “utenti controllati” eseguivano transazioni bancarie utilizzando il codice di autorizzazione ottenuto via SMS. Negli attacchi simulati, per la precisione di due diverse tipologie, una più forte con lo scostamento di cinque o più cifre rispetto alla versione corretta e un’altra con l’alterazione di una sola cifra, i risultati sono stati scoraggianti. Nel caso di scostamento di una cifra sono andati a segno il 61% degli attacchi, mentre per l’altro test hanno avuto successo il 21% dei casi.

    Va considerato inoltre che della totalità degli utenti solamente il 79% è in grado di difendersi evitando l’attacco, mentre il restante % finisce nella trappola degli attaccanti. Ulteriore risultato di studio è che con una buona percentuale gli utenti che cadono nel tranello non riescono a comprendere l’identità dell’attacco.

    A detta di AlZomai sembra quindi che il meccanismo che, fra l’altro, contempla le password via SMS non sia poi così sicuro e che rimane di fondamentale importanza che l’utente sia cosciente delle proprie azioni (e dei vari numeri di conto corrente), soprattutto quando sta eseguendo una transazione online.

    Tags:

    Se vuoi aggiornamenti su Le one-time password via SMS non proteggono dagli errori umani inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. isa dice:

      s.o.s……. e da ieri he appena mi collego in msn dopo qualche secondo cade e mi esce la scritta non e monemtaneamente possibile accedere al servvizio

    2. beppe dice:

      da un paio di giorni sono spariri i simboletti del trillo e animoticon dalle finestre dei contatti e non so come farli riapparire. ho messenger 9, vista ie7 e google. qualcuno gentilmente può aiutarmi a risolvere questo problema?
      ringrazio anticipatamente. saluti a tutti.

    3. jessica dice:

      non capisco xkè mi spunta modalita non in linea e nn mi fa collegare. che devo fare aiutooooo

    4. pikkola star dice:

      a me nn parte proprio msn nn si accede mi sapete dire il perche

    5. marta 96 dice:

      a me nn parte msn nn si accede perche??????????????

    Commenta

    Your email address will not be published. Required fields are marked *