11
Lascia una recensione

Rispondi

  Subscribe  
più nuovi più vecchi più votati
Notificami
Matrix 148
Ospite
Matrix 148

la stessa cosa con banco posta ho provato e ti da le credenziali in chiaro

formware 
Ospite
formware 

WOW articolo molto interessante

uno qualunque
Ospite
uno qualunque

Sono un utente iwbank e quasi ignorante in materia. La mia domanda è , premesso che il token otp scade ogni 30 secondi, come fa il furfante a fare un bonifico entro 30 secondi dalla cattura del numero token? Grazie dell’articolo, complimenti!

Marco
Ospite
Marco

sono un utente iwbank, cosa intendi che scade dopo 30 secondi? il token genera un codice che resta impresso sul token stesso per un tempo limitato. ma una volta che ti segni il codice hai tutto il tempo che vuoi per loggarti. quindi al massimo il tempo limitato servirebbe solo per entrare con le tue credenziali. una volta loggato è può fare tutto quel che vuole con calma.. a meno che non ci sia un controllo sull’accesso da due dispositivi differenti, in quel caso il malintenzionato verrebbe sloggato non appena l’utente fa un accesso al proprio conto con un token… Leggi il resto »

uno qualunque
Ospite
uno qualunque

Se non erro se accedi con un numero n questi non è più utilizzabile. Infatti volendo eseguire una disposizione non è possibile riutilizzarlo (supponendo che tu l’abbia scritto) , bisogna rigenerare un nuovo numero n’. OTP one time password: credo voglia dire l’hai utilizzato 1 volta…basta! Quindi se entra non potrebbe eseguire disposizioni.

Marco
Ospite
Marco

se intercetta una seconda OTP, lo può fare con tutta calma

“L’utente malevolo intercetta le credenziali e fa fallire la prima richiesta di login dell’utente legittimo, eseguirà il login con i dati rubati sul proprio computer successivamente intercetta il secondo tentativo di login ed otterrà un secondo token con il quale operare sul conto corrente (Es. effettuare bonifici).”

uno qualunque
Ospite
uno qualunque

Se non ricordo male, ogni otp dura 30 secondi, oltre il quale non puoi utilizzarlo, anche se non hai fatto l’accesso. Se io ti fornisco le mie credenziali e tu accedi al 31 esimo secondo non puoi. Se il sito intercetta un otp lo considera spazzatura. Ora so che iwbank dovrebbe porre rimedio al https, e cercherò info su veriSign di come funziona. A questo punto direi di non usare l’app. 😉

Marco
Ospite
Marco

è questo il punto. come fa il sito a sapere da quanto tempo è stato generato un OTP sul token. non c’è comunicazione tra token e sito, o sbaglio?

secondo me il sito aspetta un otp generato da un determinato algoritmo che gira su quel determinato token. non c’è modo di controllare quanto tempo fa è stato generato

Mattia Trapani
Ospite

In pratica, se tu sei collegato a un wifi pubblico e posso intercettare le tue comunicazioni, quando cerchi di fare login, io recupero username, password e token (con il quale faccio immediatamente login) ma a te faccio arrivare un errore, così ripeti il login e mi dai un secondo token con il quale posso fare un bonifico per esempio (perché sono già loggato).

Mattia Trapani
Ospite

IWBank ha disattivato l’applicazione, dicono “temporaneamente per intervento tecnico”

Mattia Trapani
Ospite

Il 14 luglio hanno aggiornato l’applicazione sistemando il problema! Già che c’erano hanno adattato lampo allo schermo dell’iPhone 5!! Alleluia