[Logo] Spazio Aperto Banca Sella
[Register] Registrati   [Login] Login    
[Search] Ricerca   [Recent Topics] Argomenti Recenti   [Hottest Topics] Argomenti vivaci  
[Banner Pubblicitario]
Accesso meno sicuro dopo adeguamento PSD2  XML
Indice dei Forum » Servizi dispositivi
Autore Messaggio
hans


Registrato: 02/06/2015 12:19:16
Messaggi: 11
Offline

Buongiorno,
in seguito all'adeguamento alla direttiva europea sui servizi di pagamento (PSD2) dal 14 settembre 2019 le modalità di accesso sono state modificate, con l'inserimento della
password otp da Token Mobile o SMS Conferma.
Precedentemente il mio sistema di accesso prevedeva due step: il primo step con pin e il secondo step con 2 caratteri della password alfanumerica. Adesso è rimasto soltanto il pin e il
secondo step è la password otp rilasciata da Token Mobile o SMS Conferma.

Vorrei dire che trovo particolarmente infelice la scelta di eliminare l'inserimento dei due caratteri della password, infatti una password alfanumerica di 8 caratteri è già di
per sé un sistema di accesso ad elevatissima sicurezza.
A mio parere l'inserimento della password otp da Token Mobile o SMS Conferma previsto dalla PSD2 andava semplicemente aggiunto come terzo step al sistema di accesso esistente,
senza eliminare la password alfanumerica. Invece avete eliminato la password e lasciato il solo pin numerico, ma il solo pin è un sistema molto più debole della password
alfanumerica.

Peraltro il sistema con password otp da Token Mobile o SMS Conferma previsto dalle direttive europee non è affatto esente da rischi (si pensi al Sim swap fraud, al furto o allo
smarrimento dello smartphone etc.).

Alla luce di queste considerazioni, e dato che la sicurezza è sempre stata tra le vostre priorità, perché eliminare la password alfanumerica? Era un sistema affidabile, a costo zero, già implementato nella piattaforma e collaudato dall'utente.
Vi pregherei quindi di ripristinare nel sistema d'accesso la password alfanumerica che, unita alla password otp da Token Mobile o SMS Conferma previsti dalla PSD2, costituirebbe un sistema di accesso veramente sicuro.

Grazie per l'attenzione.


This message was edited 1 time. Last update was at 16/09/2019 12:45:11

cristina.rogatti


Registrato: 24/01/2018 17:15:49
Messaggi: 78
Offline

Ciao hans,

in seguito alla Direttiva dell'Unione Europea PSD2, anche Banca Sella ha dovuto adeguare le proprie misure di autenticazione individuando soluzioni dirette a rafforzare la sicurezza dei pagamenti online all'interno dell'UE stessa.
La normativa prevede che per accedere e operare tramite i servizi online è necessario utilizzare strumenti che verifichino l'identità del Cliente attraverso più fattori di autenticazione e che certifichino l'operazione di pagamento attraverso un codice autorizzativo univoco.
Inoltre, il nuovo sistema previsto per gli accessi online e per la disposizione di operazioni conferisce livelli di sicurezza aggiuntivi, in quanto permette di identificare e autenticare il Cliente in maniera univoca riducendo i rischi di utilizzo fraudolento da parte di soggetti terzi non autorizzati e, tramite il servizio SMS Conferma e il dispositivo Token Mobile, conferisce la possibilità di riconoscere e autorizzare operazioni di pagamento specifiche.
Per i Clienti che inizialmente utilizzavano la password, come nel tuo caso, sia l'accesso ai nostri servizi online, sia la disposizione di operazioni, avverranno inserendo sempre 3 diversi codici: il codice Cliente, il codice PIN e il codice codice OTP inviato tramite SMS (in seguito ad attivazione dell'SMS Conferma). La situazione varierà nel caso in cui deciderai di attivare la Token fisica o mobile.
La sostituzione della password con una della nuove metodologie vuole quindi essere diretta a rafforzare la sicurezza per i nostri Clienti.
Restiamo disponibili. Buon pomeriggio.

Cristina - Team Sella
hans


Registrato: 02/06/2015 12:19:16
Messaggi: 11
Offline

cristina.rogatti wrote:
Per i Clienti che inizialmente utilizzavano la password, come nel tuo caso, sia l'accesso ai nostri servizi online, sia la disposizione di operazioni, avverranno inserendo sempre 3 diversi codici: il codice Cliente, il codice PIN e il codice codice OTP inviato tramite SMS (in seguito ad attivazione dell'SMS Conferma). La situazione varierà nel caso in cui deciderai di attivare la Token fisica o mobile.
La sostituzione della password con una della nuove metodologie vuole quindi essere diretta a rafforzare la sicurezza per i nostri Clienti.
Restiamo disponibili. Buon pomeriggio.



Gent. cristina.rogatti,
la ringrazio della risposta, anche se è piuttosto deludente. Lei mi risponde che "La sostituzione della password con una della nuove metodologie vuole quindi essere diretta a rafforzare la sicurezza per i nostri Clienti". Io le rispondo semplicemente secondo logica: eliminare una password alfanumerica di 8 caratteri vuol dire indebolire la sicurezza dei vostri clienti, non certo rafforzarla. La mia proposta di ripristino della password alfanumerica, aggiungendo un ulteriore livello forte di sicurezza avrebbe rafforzato la sicurezza, cosa che di certo non può fare la sua eliminazione.

A mio parere i 3 diversi codici che lei menziona non garantiscono un adeguato livello di sicurezza: il codice Cliente non è segreto, quindi non garantisce alcuna sicurezza. Il codice PIN è solo numerico e troppo breve per essere considerato sicuro. Rimane il codice OTP inviato tramite SMS che è comunque esposto ai rischi lato cliente che ho già esposto (Sim swap fraud, al furto o allo smarrimento dello smartphone etc.), rischi che coinvolgono anche il codice OTP tramite Token mobile che lei cita tra le soluzioni.
Attivare il Token fisico, come lei propone, secondo le nuove modalità di accesso che avete introdotto eliminerebbe codice cliente e pin, quindi torneremmo ad avere due soli livelli di sicurezza anziché tre come avevo proposto nel mio messaggio.

Non comprendo proprio perché non volete prendere in considerazione di ripristinare la password alfanumerica , ma ne prendo atto.

Cordiali saluti




hans


Registrato: 02/06/2015 12:19:16
Messaggi: 11
Offline

Dopo alcuni mesi, visto che nel frattempo non è cambiato nulla, vorrei riprendere questa discussione e fare una proposta, sempre ai fini di aumentare la sicurezza d'accesso: introdurre cioè la possibilità, per il cliente, di modificare dalla piattaforma il proprio codice pin attualmente in uso in un nuovo codice pin, ma di otto cifre, anziché di sole quattro cifre come è attualmente.
Spero che vogliate prendere in considerazione almeno questa proposta.

Grazie
hans


Registrato: 02/06/2015 12:19:16
Messaggi: 11
Offline

hans wrote:Dopo alcuni mesi, visto che nel frattempo non è cambiato nulla, vorrei riprendere questa discussione e fare una proposta, sempre ai fini di aumentare la sicurezza d'accesso: introdurre cioè la possibilità, per il cliente, di modificare dalla piattaforma il proprio codice pin attualmente in uso in un nuovo codice pin, ma di otto cifre, anziché di sole quattro cifre come è attualmente.
Spero che vogliate prendere in considerazione almeno questa proposta.

Grazie


Nessuna risposta dopo più di una settimana!

Eppure inserire sulla piattaforma la possibilità, per il cliente, di modificare il proprio pin con un pin di otto cifre, non mi sembra una proposta insensata o di difficile realizzazione (e infatti prima della PSD2 era possibile modificarlo), e incrementerebbe molto la sicurezza d'accesso.
Spero vivamente in una vostra risposta.

Grazie

cristina.rogatti


Registrato: 24/01/2018 17:15:49
Messaggi: 78
Offline

Ciao Hans,

perdonaci per il ritardo con cui ti diamo risposta.
Il sistema di autenticazione, così come concepito ora, assolve ai requisiti di "Strong Authentication”, poiché si basa su almeno due elementi che appartengono alle sfere di possesso, conoscenza e inerenza dell'utilizzatore.
Nello specifico il Token Software e la Sim a cui si "consegna” l’sms per la registrazione, sono i due elementi che, in momenti diversi, si utilizzano per determinare il possesso di tali elementi, ma che da soli, tuttavia, non consentono un accesso completo e/o una disposizione.
Considerando una frode che si basa sulla compromissione anche del secondo elemento di autenticazione, ciò richiede, oltre alla clonazione della sim, anche la conoscenza del secondo fattore (la password o il pin).
Questa situazione di solito può avvenire in uno di questi casi:
- azione di malware che intercettano le credenziali di autenticazione;
- attività di phishing;
- attività di social engineering (telefonate al Cliente da parte di frodatori che si spacciano per la Banca e si fanno consegnare le credenziali di accesso).
Per mitigare tali rischi sono poste in essere, dal nostro Gruppo, una serie di attività:
- monitoraggio delle connessioni per rilevare, ove tecnicamente possibile, l’azione di un virus;
- monitoraggi per rilevare attività di phishing e le relative attività di identificazione dei Clienti che potenzialmente hanno seguito i link delle mail fraudolente, oltre a tutte le attività necessarie alla chiusura dei siti clone;
- sensibilizzazione dei Clienti nella sezione "sicurezza” del nostro sito che riporta una serie di indicazioni per riconoscere questi tipi di ‘attacchi’ e per una corretta gestione dei devices (antivirus aggiornato, scansioni periodiche, ecc).
Inoltre, ogni Cliente per il quale si sospetti la compromissione di uno dei fattori di autenticazione, viene richiamato al fine di richiedere la variazione dei codici ritenuti potenzialmente compromessi.
Possiamo infine suggerire, per i possessori di token, di passare ad una autenticazione tramite "username" che consente l'accesso ai nostri servizi, tramite la creazione di una password alfanumerica con una lunghezza compresa tra 8 e 25 caratteri; questa soluzione è attivabile dalla voce "profilo” dell’Internet Banking.
Restiamo disponibili.
Cristina - Team Sella

Cristina - Team Sella
hans


Registrato: 02/06/2015 12:19:16
Messaggi: 11
Offline

cristina.rogatti wrote:
Possiamo infine suggerire, per i possessori di token, di passare ad una autenticazione tramite "username" che consente l'accesso ai nostri servizi, tramite la creazione di una password alfanumerica con una lunghezza compresa tra 8 e 25 caratteri; questa soluzione è attivabile dalla voce "profilo” dell’Internet Banking.
Restiamo disponibili.
Cristina - Team Sella


Gent.ma Cristina Rogatti, sarei felice di poter passare a questa autenticazione che lei mi suggerisce tramite "username" che consente l'accesso ai vostri servizi, tramite la creazione di una password alfanumerica con una lunghezza compresa tra 8 e 25 caratteri, ma il mio problema purtroppo è che io non sono possessore di token. Come ho già descritto nel mio primo messaggio di questo thread, prima del 14 settembre 2019, cioè prima dell'introduzione della PSD2, il mio sistema di accesso prevedeva due step: il primo step con pin e il secondo step con 2 caratteri di una password alfanumerica. Infatti adesso se io vado su profilo > impostazioni ho solo la possibilità di cambiare pin e password, ma quest'ultima è un'opzione inutile, perché voi mi avete soppresso (senza un comprensibile motivo) l'utilizzo della mia sicura password alfanumerica, lasciandomi soltanto un insicuro e brevissimo pin numerico.
Se proprio non volete ripristinarmi l'utilizzo della mia password alfanumerica come sto pregandovi di fare da diversi mesi (in aggiunta ovviamente all'attuale autenticazione tramite sms richiesta dalla PSD2) almeno aggiungetemi nel profilo questa opzione dell'autenticazione tramite "username" che lei ha citato.
Grazie
 
Indice dei Forum » Servizi dispositivi
Vai a:   
E.t.v.s.p.b WLS11G