L’E-Banking & l’OTP
Articolo pubblicato su "Il Quotidiano del Molise" del 02-11-2015
(password per una sola volta!)
Quest’oggi parliamo di come vengono protetti i nostri risparmi dagli istituti di credito.
Una banca è (o meglio, dovrebbe essere!) un luogo particolarmente sicuro, più sicuro delle nostre case; dotato di particolari e sofisticatissimi sistemi di sicurezza a prova di intrusione.
Chi “svaligiava” banche doveva entrarvi di soppiatto nottetempo, bypassando allarmi e guardie armate. Il ladro doveva raggiungere il cuore della banca, cioè il caveau, quell’immensa camera blindata chiusa da un pesantissimo coperchio circolare. Lo scassinatore apriva il caveau utilizzando uno stetoscopio o dell’esplosivo al plastico. Una volta dentro, il ladro riempiva enormi sacchi col denaro contante che vi era custodito. Questa è la descrizione del ladro e del furto di “una volta”, del tutto anacronistica in tempi tecnologicamente avanzati come questi in cui stiamo vivendo.
Come i libri, anche il denaro si sta dematerializzando, divenendo una semplice cifra che viene visualizzata su un dispositivo digitale. Il caveau moderno non è più la pesante camera blindata che siamo abituati a vedere nei film di Lupin, bensì un server tecnologico protetto da sofisticatissime misure di Sicurezza Informatica. Di conseguenza, anche il ladro ha dovuto abbandonare calzamaglia e mascherina, per sedersi alla tastiera di un computer. Lo scassinatore si è trasformato in un “Cyber-criminale”, capace di realizzare ed utilizzare programmi in grado di attaccare i sistemi di Sicurezza Informatica posti a difesa della banca. Il ladro 3.0 preleva dei numeri, veicolandoli su altri conti, su altri dispositivi di memoria, su altri server! In parole povere, la guerra tra guardia e ladro è diventata digitale!
È cambiato anche il modo in cui noi consultiamo e gestiamo il nostro conto bancario: una volta ci si recava fisicamente in filiale, oggi invece, molte operazioni, che un tempo richiedevano l’intervento di un impiegato, possono essere fatte in piena autonomia e senza uscire di casa. Questo è reso possibile dai computer e dagli smartphone, i quali, in un certo senso, “vanno in banca” per noi. Il termine “e-banking” (“home banking”, “online banking” – lett. “banca da casa”, “banca elettronica”) indica tutte quelle operazioni bancarie che l’utente può fare comodamente da casa: consultare il proprio conto, pagare tasse, fare acquisti, ricaricare il cellullare, ecc. Tutto ciò è bello e comodo e, soprattutto, evita quelle noiosissime file agli sportelli. Ma che sicurezza ci garantisce un sistema del genere? Come possiamo accedere in tutta tranquillità al nostro conto senza che occhi indiscreti spiino cosa abbiamo e cosa facciamo?
Il problema è stato risolto utilizzando la “Crittografia” (di cui abbiamo parlato qualche settimana fa), le credenziali di accesso (nome utente e password), spediteci dall’istituto di credito utilizzando, per ognuno, un canale comunicativo diverso (la lettera, l’sms, l’e-mail) ed un “token”, ossia un piccolo dispositivo portatile in grado di generare quella che viene chiamata “One Time Password” (o “OTP”). Si tratta di una password solo per una singola sessione di accesso o una singola operazione.
L’OTP è una password numerica di almeno sei cifre che riproduce un algoritmo crittografico di sicurezza impostato dalle misure di difesa dell’istituto bancario. Questo codice va utilizzato in combinazione con le credenziali di accesso, proteggendo il conto corrente dell’utente dai c.d. “Attacchi con replica”: un potenziale intruso che riesca ad intercettare una OTP (utilizzata per un accesso o una transazione), non potrà riutilizzarla, in quanto non sarà più valida. Rispetto alla password tradizionale statica, l’OTP non deve essere memorizzata dall’utente (cambia sempre!); l’utente deve soltanto preoccuparsi di custodire gelosamente il dispositivo che la genera volta per volta. Con simili misure protettive, il ladro preferisce intercettare le nostre credenziali più che aggredire il server superprotetto della banca: i “keylogger” ed i “trojan” che “infettano” computer e smartphone privi di antivirus e firewall, permettono di carpire ogni informazione digitata e/o inviata, comprese le nostre importanti password bancarie!
Nel Nuovo Corso di Sicurezza Informatica per utente, a cui è possibile iscriversi chiamando lo 0865.299728, si parlerà proprio di password e dell’e-banking.
I-Forensics Team
VISUALIZZA l'articolo sul "Il Quotidiano del Molise"