Alcune banche hanno adottato un sistema ingegnoso per aumentare la sicurezza delle transazioni online. Per esempio, Unicredit ha adottato la tecnologia RSA SecurID.
Di che cosa si tratta? SecurID è un dispositivo delle dimensioni di un portachiavi, simile ad una chiavetta usb, dotato di display. Su questo display appare una codice, codice la cui vita dura 30 (o 60) secondi. Questo codice viene utilizzato per una sola autenticazione dopodiché scade.
E’ sicuro questo sistema? E come funziona? Ritengo che sia ragionevolmente sicuro. Intanto perché è stato creato dalla RSA azienda autorevole che non metterebbe in commercio un prodotto scadente. Tanto per intenderci, RSA sta per Rivest, Shamir, Adleman, tre dei più grandi esperti di crittografia, inventori della crittografia asimmetrica.
La sicurezza è garantita dal fatto che la password (il codice) è mono-uso: l’eventuale hacker ha a disposizione un tempo ridottissimo per il brute-force attack.
Come funziona? Vediamo. La forma più sicura di crittografia è quella dove le chiavi vengono utilizzate una volta sola (one-time pad). Questa forma di crittografia è sicurissima ma ha un limite: lo scambio delle chiavi. Essendo una forma di crittografia simmetrica le due parti coinvolte nella transazione devono condividere elenchi di chiavi da usare e gettare. Procedura scomoda.
Per superare questo problema è necessario creare una funzione che sia in grado di produrre password usa-e-getta che siano sincronizzate in qualche modo col sistema remoto.
Un primo elemento utile per risolvere il problema è il tempo: utilizzando orologi sincronizzati sia sul server, sia sul token, si è in grado sia di sincronizzare i sistemi, sia di creare codici in continuo mutamento.
Naturalmente il tempo non basta: è si un elemento in continuo movimento, ma è anche assai facile da prevedere, in quanto non occorre essere hacker per saper leggere l’orologio! Occorre una altro ingrediente. Questo secondo ingrediente è un segreto condiviso (seed) da 128 bit.
Questo “seme” viene in qualche modo combinato con il tempo (nella forma dello Unix timestamp per esempio), e passato attraverso una funzione di hashing. Infine dall’hash viene estrapolato il codice della durata di 30 secondi.
Riepilogando:
1. Esiste un segreto condiviso nel token e nel sistema remoto
2. Questo segreto (seed) a 128 bit viene combinato con il timestamp creando così un valore sempre nuovo
3. Il codice così ottenuto viene trattato in qualche modo ulteriore (funzione hash)
Di fatto si tratta di un ingegnoso meccanismo per moltiplicare all’infinito un’unica password condivisa. Indovinare o predire i codici è pressoché impossibile. L’aggiunta di questa elemento alza decisamente il livello di sicurezza della transazione.
PillolHacking.Net: I Migliori Articoli di Marzo 2009
Anche questa mese propongo l'elenco di quelli che a mio avviso sono stati i migliori articoli di PillolHacking.Net... A Proposito di Fuga dalle Banche
Forse qualcuno di voi si ricorda. Qualche mese fa, all'inizio della crisi finanziaria che avrebbe poi... La Password e la Crittografia
La password è un elemento mitico della sicurezza informatica. Nei film dopo qualche tentativo il protagonista... PillolHacking.Net: I Migliori Articoli di Febbraio 2009
Riassunto di fine mese dei migliori articoli di Febbraio 2009. Per non perdere neanche un articolo iscriviti...
mar 18, 2009 at 17:58:56
Bell’articolo come sempre!
Avrei un paio di numeretti in successione, ke dovrebbero nascondere un nome utente ed una password ma nn so come decodificarli. Mi potresti dare una mano, anke piccola se puoi? Fammi sapere se si dove posso inviarti il “codice”.
Grazie comunque!
mar 19, 2009 at 16:14:18
Mandami un’email: angelo pillolhacking.net
mar 22, 2009 at 00:43:45
Nice website, I found you while looking for some blog related search and want to give you a compliment while I was here.
mar 24, 2009 at 22:43:08
Prima di tutto mi complimento per l’ ottimo blog, che seguo da tempo; Tratta tematiche specifiche spiegandole in termini semplici.
Ho tiportato il tuo articolo nel mio NewsPortal, Con i dovuti credits, naturalmente.
Se ci fossero problemi per mia pubblicazione sopra citata avvisami pure via mail (ho inserito quella vera).
Buona continuazione
WebDataBank
mar 26, 2009 at 21:25:35
@WebDataBank: Intanto grazie per i cocmplimenti!
Non ci sono problemi per la pubblicazione dell’articolo su tuo sito, anzi; sito che trovo interessante e affine a PH: entrarà nel blogroll