Cari amici della lista, La mia banca mi ha comunicato che avrebbe dismesso il corrente applicativo di home banking in favore di uno nuovo e dunque, da qualche giorno, ho fatto lo switch. La procedura di login del nuovo applicativo per? mi ha lasciato perplesso, per il motivo che vi vado a spiegare.
L'applicativo vecchio prevedeva login tramite username e password: quest'ultima, nel mio caso, era alfanumerica, praticamente random e di lunghezza superiore ai 20 caratteri. Il nuovo applicativo invece richiede i seguenti dati: * il codice utente (visualizzato in chiaro nel campo della form) * una data importante per l'utente (specificata in fase d'iscrizione e anch'essa visualizzata in chiaro durante il login) * un PIN numerico di 6 cifre, da digitare tramite tastierino numerico visualizzato nella pagina web Quello che non mi convince ? proprio questo "tastierino numerico a video". Ad ogni reload della pagina la disposizione dei tasti viene cambiata, ma i tasti hanno un bel rollover che li evidenzia di giallo quando gli si clicca sopra, mettendo di fatto in chiaro anche il PIN. Ora, sono convinto che questo metodo di login renda inefficace un eventuale keylogger installato sulla macchina, ma al prezzo di esporre l'utente al rischio, secondo me molto pi? concreto, comportato dal "guardone". Quello che vi chiedo quindi ?: * cosa ne pensate voi? sono troppo paranoico? * qual'? il razionale dietro a questa procedura, a parte quello di spiazzare i keylogger? Grazie e ciao! -mc.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
