fbpx

otp

  • Inside otp: i menù nascosti

    Molti di noi utilizzano il token otp per generare il codice di accesso per il proprio homebanking, pochi immaginano la presenza di menù e infomazioni varie. Proviamo a dare uno sguardo più approfondito al nostro token, per praticità utilizzerò quello che mi fornisce la mia banca, un modello Vasco Digipass and Go, brandizzato dalla banca.
    Premendo il pulsante presente sul token si genera il codice di accesso per l'homebanking, se teniamo premuto il pulsante dopo qualche secondo compare un menù con 3 voci
    SECONDS
    BATTERY
    ID


    In corrispondenza di ognuna di queste  si pussono vedere i seguenti dati:

    SECONDS->SEC FT xxxxxxxxxx (numero di 10 cifre che cambia nella sola parte finale)

    BATTERY-> xx (numero di due cifre; fra una prova e l’altra rimane costante)
    ID ->dp xxxxxxxxxx (numero di 10 cifre che rimane costante)

    Presumibilmente i dati sono riconducibili ai seguenti

    SECONDS->SEC FT xxxxxxxxxx Potrebbe trattarsi del clock del dispositivo , la sigla fa pensare a Seconds Floating Time
    BATTERY-> xx  questa è certamente il livello di carica della batteria incorporata
    ID ->dp xxxxxxxxxx questa è l’ID della chiave di tratta di un modello nel caso in esame, digipass, identificato dalla sigla dp, e il numero di 10 cifre è il seriale.

    Ora indipendentemente dal modello di otp time o event based  quello che desta la mia attenzione e, da esperto di sicurezza, la mia preoccupazione è il fatto che questi dati (sec ft xxxxxxxxxx e dp xxxxxxxxxx )a cui tutti possono avere accesso, siano utilizzati per la generazione della sequenza token. Se questi dati rappresentassero un input per la generazione della sequenza otp si potrebbe interpolando un gran numero di rilevazioni approssimare l’algoritmo di generazione dei token e "indovinare" le password generabili da un token.

    Un'altro aspetto estremamente interessante è nascosto nella parte posteriore del token dove sotto l'etichetta sono presenti 6 fori di cui non comprendo l’utilità. Infatti se fossero per evitare l'accumuolo di umidità sul circuito non dovrebbero essere tappati dall'etichetta; mi viene quindi da pensare che  possano essere una porta di accesso al circuito stampato della chiave.
    Non provate ad aprire il vostro token perchè si autodistruggerà e non potrete più usarlo per l'accesso all'homebanking tantomeno per fare le vostre indagini. Non so se i token sono protetti come le smartcard da scansioni a raggi x che ne rilevino la struttura; magari in una prossima puntata trovando un'apparecchiatura adeguata faccio questa verifica.

     

  • Internet Banking e Carte : dai token otp alle display card

    Sono tempi di grandi evoluzioni, la crisi aguzza l'ingegno e fa emergere le eccellenze. Per tutte le aziende e in particolare per le banche è importante innalzare la qualità del proprio business mantendo gli stessi costi e riducendo il livello di rischio, un esempio interessante è quello di IWBank e delle nuove carte con One Time Password Integrata
    IWbank sembra ad oggi l'unica banca italiana che sta adottando le display card dopo avere iniziato con i token otp (http://forum.iwbank.it/showthread.php?p=113600#post113600); è giusto ricordare che questo percorso è iniziato qualche anno fa negli states e stato portato a livello mondiale da Visa nel corso di quest'anno (http://www.carte-di-credito-online.com/visa_pincard_sicurezza_internet.aspx).
    Il token otp è stato ed è un grande passo avanti rispetto al vecchio meccanismo di username e password, uno strumento importante che ha permesso alle banche che lo hanno adottato di ridurre notevolmente le frodi sui sistemi di Internet Banking; certo il token è un po' ingombrante a meno che non lo si attacchi al portachiavi e spesso si rischia di appoggiarlo sulla scrivania o riporlo in un cassetto senza curarsi troppo della sua sicurezza.
    Le nuove carte con display otp integrato presentano molti vantaggi per le aziende bancarie, il più immediato è che uniscono due strumenti in uno, riducendo i costi di gestione di carta e token. Per il cliente è sicuramente più agevole avere uno strumento con integrato anche l'altro, soprattutto uno strumento a cui in genere si pone molta attenzione e che sicuramente non si abbandona in un cassetto aperto
    Dal punto di vista tecnico l'infrastruttura IT è inalterata, così come la durata delle display card è in rapida crescita verso quella assicurata dai token per i quali si intravedono modelli capaci di avere un ciclo di vita uguale a quello del bancomat alimentati da celle solari.

    La soluzione merita di essere seguita per capire come il mercato italiano recepirà questa nuova iniziativa. Queste carte potrebbero diventare le killer application dei pagamenti riducendo il rischio per banche, esercenti e clienti, potremmo avere PIN OTP per le transazioni POS, basterà schiacciare il pulsate della carta e leggere sul display il One Time Pin. Sarà il futuro ?

     

     

    Update del 3 novembre 2010:

    Riporto un aggiornamento che avevo dimenticato in una mail di Walter Summonte.

    Il panorama italiano si sta movimentando molto e ne è testimone il gruppo Banca Popolare che da Febbraio ha iniziato a distribuire  Displaycard  “TIME”  e non “Event”  based

Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.