• Matrix 148

    la stessa cosa con banco posta ho provato e ti da le credenziali in chiaro

  • formware 

    WOW articolo molto interessante

  • uno qualunque

    Sono un utente iwbank e quasi ignorante in materia. La mia domanda è , premesso che il token otp scade ogni 30 secondi, come fa il furfante a fare un bonifico entro 30 secondi dalla cattura del numero token? Grazie dell’articolo, complimenti!

    • Marco

      sono un utente iwbank, cosa intendi che scade dopo 30 secondi? il token genera un codice che resta impresso sul token stesso per un tempo limitato. ma una volta che ti segni il codice hai tutto il tempo che vuoi per loggarti.
      quindi al massimo il tempo limitato servirebbe solo per entrare con le tue credenziali. una volta loggato è può fare tutto quel che vuole con calma.. a meno che non ci sia un controllo sull’accesso da due dispositivi differenti, in quel caso il malintenzionato verrebbe sloggato non appena l’utente fa un accesso al proprio conto con un token generato successivamente

      • uno qualunque

        Se non erro se accedi con un numero n questi non è più utilizzabile. Infatti volendo eseguire una disposizione non è possibile riutilizzarlo (supponendo che tu l’abbia scritto) , bisogna rigenerare un nuovo numero n’. OTP one time password: credo voglia dire l’hai utilizzato 1 volta…basta! Quindi se entra non potrebbe eseguire disposizioni.

        • Marco

          se intercetta una seconda OTP, lo può fare con tutta calma

          “L’utente malevolo intercetta le credenziali e fa fallire la prima richiesta di login dell’utente legittimo, eseguirà il login con i dati rubati sul proprio computer successivamente intercetta il secondo tentativo di login ed otterrà un secondo token con il quale operare sul conto corrente (Es. effettuare bonifici).”

          • uno qualunque

            Se non ricordo male, ogni otp dura 30 secondi, oltre il quale non puoi utilizzarlo, anche se non hai fatto l’accesso. Se io ti fornisco le mie credenziali e tu accedi al 31 esimo secondo non puoi. Se il sito intercetta un otp lo considera spazzatura. Ora so che iwbank dovrebbe porre rimedio al https, e cercherò info su veriSign di come funziona. A questo punto direi di non usare l’app. 😉

          • Marco

            è questo il punto. come fa il sito a sapere da quanto tempo è stato generato un OTP sul token. non c’è comunicazione tra token e sito, o sbaglio?

            secondo me il sito aspetta un otp generato da un determinato algoritmo che gira su quel determinato token. non c’è modo di controllare quanto tempo fa è stato generato

      • In pratica, se tu sei collegato a un wifi pubblico e posso intercettare le tue comunicazioni, quando cerchi di fare login, io recupero username, password e token (con il quale faccio immediatamente login) ma a te faccio arrivare un errore, così ripeti il login e mi dai un secondo token con il quale posso fare un bonifico per esempio (perché sono già loggato).

  • IWBank ha disattivato l’applicazione, dicono “temporaneamente per intervento tecnico”

  • Il 14 luglio hanno aggiornato l’applicazione sistemando il problema! Già che c’erano hanno adattato lampo allo schermo dell’iPhone 5!! Alleluia