Subscribe
Notificami
guest
11 Commenti
più votati
più nuovi più vecchi
Inline Feedbacks
View all comments
Matrix 148
Matrix 148
3 Luglio 2014 18:43

la stessa cosa con banco posta ho provato e ti da le credenziali in chiaro

formware 
formware 
4 Luglio 2014 09:20

WOW articolo molto interessante

uno qualunque
uno qualunque
4 Luglio 2014 14:18

Sono un utente iwbank e quasi ignorante in materia. La mia domanda è , premesso che il token otp scade ogni 30 secondi, come fa il furfante a fare un bonifico entro 30 secondi dalla cattura del numero token? Grazie dell’articolo, complimenti!

Marco
Marco
4 Luglio 2014 14:56
Reply to  uno qualunque

sono un utente iwbank, cosa intendi che scade dopo 30 secondi? il token genera un codice che resta impresso sul token stesso per un tempo limitato. ma una volta che ti segni il codice hai tutto il tempo che vuoi per loggarti. quindi al massimo il tempo limitato servirebbe solo per entrare con le tue credenziali. una volta loggato è può fare tutto quel che vuole con calma.. a meno che non ci sia un controllo sull’accesso da due dispositivi differenti, in quel caso il malintenzionato verrebbe sloggato non appena l’utente fa un accesso al proprio conto con un token… Leggi il resto »

uno qualunque
uno qualunque
4 Luglio 2014 15:13
Reply to  Marco

Se non erro se accedi con un numero n questi non è più utilizzabile. Infatti volendo eseguire una disposizione non è possibile riutilizzarlo (supponendo che tu l’abbia scritto) , bisogna rigenerare un nuovo numero n’. OTP one time password: credo voglia dire l’hai utilizzato 1 volta…basta! Quindi se entra non potrebbe eseguire disposizioni.

Marco
Marco
4 Luglio 2014 15:25
Reply to  uno qualunque

se intercetta una seconda OTP, lo può fare con tutta calma

“L’utente malevolo intercetta le credenziali e fa fallire la prima richiesta di login dell’utente legittimo, eseguirà il login con i dati rubati sul proprio computer successivamente intercetta il secondo tentativo di login ed otterrà un secondo token con il quale operare sul conto corrente (Es. effettuare bonifici).”

uno qualunque
uno qualunque
4 Luglio 2014 15:40
Reply to  Marco

Se non ricordo male, ogni otp dura 30 secondi, oltre il quale non puoi utilizzarlo, anche se non hai fatto l’accesso. Se io ti fornisco le mie credenziali e tu accedi al 31 esimo secondo non puoi. Se il sito intercetta un otp lo considera spazzatura. Ora so che iwbank dovrebbe porre rimedio al https, e cercherò info su veriSign di come funziona. A questo punto direi di non usare l’app. 😉

Marco
Marco
4 Luglio 2014 15:48
Reply to  uno qualunque

è questo il punto. come fa il sito a sapere da quanto tempo è stato generato un OTP sul token. non c’è comunicazione tra token e sito, o sbaglio?

secondo me il sito aspetta un otp generato da un determinato algoritmo che gira su quel determinato token. non c’è modo di controllare quanto tempo fa è stato generato

Mattia Trapani
4 Luglio 2014 19:35
Reply to  Marco

In pratica, se tu sei collegato a un wifi pubblico e posso intercettare le tue comunicazioni, quando cerchi di fare login, io recupero username, password e token (con il quale faccio immediatamente login) ma a te faccio arrivare un errore, così ripeti il login e mi dai un secondo token con il quale posso fare un bonifico per esempio (perché sono già loggato).

Mattia Trapani
4 Luglio 2014 19:35

IWBank ha disattivato l’applicazione, dicono “temporaneamente per intervento tecnico”

Mattia Trapani
16 Luglio 2014 20:29

Il 14 luglio hanno aggiornato l’applicazione sistemando il problema! Già che c’erano hanno adattato lampo allo schermo dell’iPhone 5!! Alleluia

11
0
Would love your thoughts, please comment.x
()
x