Home Banking, suggerimenti per le password
Visto che anche cercando su Internet non è che si trovi granchè su come comportarsi per evitare le frodi bancarie mediante il proprio sito di Home Banking cerchiamo di dare alcuni suggerimenti.
Partiamo dalle password. In generale se il vostro sito di Home Banking per autorizzare il vostro utente (ovvero per consentirvi di entrare nel sito) utilizza solo ed esclusivamente un meccanismo di password il suggerimento è molto semplice: eliminate qualunque sistema cosiddetto “dispositivo” ed usatelo solo ed esclusivamente per consultare lo stato del vostro conto corrente. Questo è un suggerimento che vale sempre, ma secondo me qualunque sistema che gestisca soldi e che per la propria sicurezza si appoggi solo ad un meccanismo di password è intrinsecamente debole.
Perchè? Perchè il problema non è quello di usare password forti, deboli, con combinazioni astruse di lettere e numeri e di non dirle a nessuno, è che nel momento in cui questa password viene digitata al PC (sia per entrare sia come password ulteriore per autorizzare un bonifico) questa è insicura. E non per il fatto che viaggia sul filo, dato che la trasmissione dei dati in tutti i siti bancari avviene sempre in forma cifrata, ma perchè il vostro PC è un oggetto sostanzialmente insicuro. Anche avere l’antivirus aggiornato può non essere sufficiente, ci sono mille modi in cui si può prendere un virus, un programma spia o qualcosa di ancora sconosciuto all’antivirus più aggiornato per cui nel momento in cui la password viene digitata viene anche inviata a qualche sito di truffatori. Detta così sembra terrorismo ma esistono casi in cui questo è successo, esisteranno ancora ed al mondo ci sono centinaia di persone che passano il tempo a trovare il modo di beccarvi la password.
E questo nell’ipotesi che abbiate un antivirus aggiornato e Windows con tutte le ultime patch, non considerando la possibilità di avere un antivirus vecchio o la possibilità di cadere vittima di altri attacchi (phishing, per dirne una).
Quindi, lo ripeto, se il vostro Home Banking dispone solo di un accesso controllato mediante utenza ed una o più password i consigli sono sostanzialmente due:
1) Cambiate banca
2) Usate il conto corrente online solo per i servizi di consultazione ed eliminate completamente i servizi dispositivi.
Diverso invece il discorso per tutti quei siti bancari in cui l’autenticazione avviene mediante un Token RSA, ovvero un aggeggino come il seguente che alla pressione di un pulsante mostra una serie di numeri, tipo quello dell’immagine seguente:
Questo tipo di tecnologia è di fatto inattaccabile e assolutamente sicura, perchè la password di accesso è composta normalmente da tre dati distinti:
1) Un codice di accesso
2) Un PIN di cui solo voi dovreste essere a conoscenza
3) Il numerino generato dal token che cambia in continuazione
Quindi se qualcuno riuscisse anche a trovare la vostra utenza ed il vostro PIN (o password) poi non se ne fa nulla senza avere l’accesso fisico al Token RSA, che produce numeri che sono sempre diversi in funzione del tempo e del singolo Token (ogni token genera numeri diversi).
Banche che usino questo mezzo di controllo degli accessi sono sicuramente banche con cui si può lavorare abbastanza tranquilli, anche se comunque ci sono altre indicazioni utili da tenere presente…