Pagamenti Elettronici e Sicurezza, lebbanghenoncielodiconooooo

[Shito]

30 minutes ago, Chocozell said:

Per quanto riguarda l'usabilità del TID, direi che forse non lo hai mai usato.

L'ho usato. In Canada, la mia consorte non aveva registrato alcun dito sul suo iPhoneSE, e allora io ne registrai cinque. Non funzionava mai. Una seccatura. Bisognava mettere il dito nel modo giusto. E se è umido non va. Se hai i guandi (a Montreal si arriva a-30) non va. Eccheppalle. Mi sembrava di essere io al servizio di un cavolo di telefonino, figurarsi.

Queste stupidaggini non fanno per me.

Un'altra cosa buffa, per me, è il "low power mode". Che disabilita MENO cose di quelle che tengo regolarmente disabilitate. Quindi se lo attivo ne riattiva qualcuna? Ma lol.

Quanto all'uso del telefono: ormai stanno forzando autorizzazioni via sms o simili ovunque, una rottura. Dalla banca a PayPal a non so che, ti mandano un sms. Quindi tengo il telefonino a distanza mentre lavoro.

Modificato 16 Settembre, 2021 da Shito

[mtpgpp]

1 hour ago, Shito said:

L'ho usato. In Canada, la mia consorte non aveva registrato alcun dito sul suo iPhoneSE, e allora io ne registrai cinque. Non funzionava mai. Una seccatura. Bisognava mettere il dito nel modo giusto. E se è umido non va. Se hai i guandi (a Montreal si arriva a-30) non va. Eccheppalle. Mi sembrava di essere io al servizio di un cavolo di telefonino, figurarsi.

Queste stupidaggini non fanno per me.

Un'altra cosa buffa, per me, è il "low power mode". Che disabilita MENO cose di quelle che tengo regolarmente disabilitate. Quindi se lo attivo ne riattiva qualcuna? Ma lol.

Quanto all'uso del telefono: ormai stanno forzando autorizzazioni via sms o simili ovunque, una rottura. Dalla banca a PayPal a non so che, ti mandano un sms. Quindi tengo il telefonino a distanza mentre lavoro.

Non è una scelta dei produttori o delle banche è un obbligo di sicurezza introdotto dalla psd2 (norma europea sui pagamenti digitali)

[Shito]

Sisì, lo sapevo. Non che la cosa sia meno fastidiosa, però. :-(

 

In che modo un SMS sia una certificazione di identità, quando i cellulari sono spesso sbattuti sui tavoli di un ristorante, onestamente mi sfugge. Ma tant'è.

Modificato 16 Settembre, 2021 da Shito

[mtpgpp]

Se usi i pagamenti digitali devi trattare il Cell come tratti il portafoglio (idem il PC)

[Shito]

Eh, ma prima i pagamenti digitali li facevo con sole password che avevo nel cervello che, francamente, mi sembra un po' più sicuro sia del mio cellulare che del mio portafogli: non credo che mi tortureranno per estorcermele. Io realtà, anche come home-banking la sicurezza obiettiva si è solo abbassata: prima dovevo usare una serie di codici riportati su una scheda fisica tipo carta di credito (tipo: non la tiri fuori se non quando serve), ora con la gloriosa "smart app" chiunque mi pigli il cellulare potrebbe fare quel che vuole, anche l'SMS lo mandano lì.

Ovvero: potrebbero. Avrebbero potuto. Ho cambiato banca. Non accetto di dover aggiornare un cellulare perché lo decide la mia banca. Quit.

[Godai]

Io invece ho iniziato a fare operazioni di pagamento con il telefono solo dopo averne avuto uno con sblocco con impronta digitale. 

[Chocozell]

Diciamo che se a te interessa tenere i soldi in banca e alla banca tenerli al sicuro, uno dei due deve dettare le regole. Siccome se tu perdi soldi la banca ce li deve rimettere (in teoria, ma non stiamo a guardare la giustizia terrena), ed è anche quella che rischia di più con un account bucato, il fatto che la banca imponga un minimo di sicurezza non è del tutto sbagliato.

Ora, stiamo parlando di notifiche push o di otp? Perché le notifiche push prevedono comunque l'inserimento di un codice che conosci solo tu. L'otp prevede l'inserimento di una password decisa da te. E abbastanza spesso le cose sono anche combinate. Senza contare che gli samrtphone in genere sono lockati e seppur ti arrivasse l'sms o la notifica, per poter leggere o agire si deve comunque sbloccare il telefono.

[Lord Gara]

1 hour ago, Shito said:

Eh, ma prima i pagamenti digitali li facevo con sole password che avevo nel cervello che, francamente, mi sembra un po' più sicuro sia del mio cellulare che del mio portafogli: non credo che mi tortureranno per estorcermele. Io realtà, anche come home-banking la sicurezza obiettiva si è solo abbassata: prima dovevo usare una serie di codici riportati su una scheda fisica tipo carta di credito (tipo: non la tiri fuori se non quando serve), ora con la gloriosa "smart app" chiunque mi pigli il cellulare potrebbe fare quel che vuole, anche l'SMS lo mandano lì.

Ovvero: potrebbero. Avrebbero potuto. Ho cambiato banca. Non accetto di dover aggiornare un cellulare perché lo decide la mia banca. Quit.

Non ho capito, hai cambiato banca perchè?

In ogni caso stai dicendo una enorme fesseria ma andremmo OT e questa è casa mia quindi per i poteri che mi sono stati conferiti dai Troll è tempo di aprire un nuovo topic!

[Shito]

Chocololú: OTP che loro ti mandano un SMS e tu lo copi. Capirai.

Just now, Lord Gara said:

Non ho capito, hai cambiato banca perchè?

Perché il mio telefono non era più compatibile con il loro software. Mi hanno detto: "cambi telefono". Ho detto: "ok". E ho cambiato banca.

[Chocozell]

3 minutes ago, Shito said:

Chocololú: OTP che loro ti mandano un SMS e tu lo copi. Capirai.

Ma anche io utilizzo l'OTP. Ma esistono anche le notifiche push. Ci sono diverse soluzioni a seconda dei casi.

[Shito]

Push disabilitato su ogni mio terminale. Notifiche disabilitate (per tirare giù tutto il "centro notifiche" da OSX dovetti ravanare un bel po'). Non voglio che un computer, piccolo o grande, mi rompa le scatole. Sono di quelli che quando vuole che un programma sia attivo, lo apre.

[mtpgpp]

1 hour ago, Shito said:

Eh, ma prima i pagamenti digitali li facevo con sole password che avevo nel cervello che, francamente, mi sembra un po' più sicuro sia del mio cellulare che del mio portafogli: non credo che mi tortureranno per estorcermele. Io realtà, anche come home-banking la sicurezza obiettiva si è solo abbassata: prima dovevo usare una serie di codici riportati su una scheda fisica tipo carta di credito (tipo: non la tiri fuori se non quando serve), ora con la gloriosa "smart app" chiunque mi pigli il cellulare potrebbe fare quel che vuole, anche l'SMS lo mandano lì.

Ovvero: potrebbero. Avrebbero potuto. Ho cambiato banca. Non accetto di dover aggiornare un cellulare perché lo decide la mia banca. Quit.

Le pwd non sono solo nel cervello si possono rubare in vari modi, intercettare un SMS o ancora meglio una notifica all'app con tanto di impronta di autenticazione è più difficile e l'sms ti avverte comunque della spesa.

 

Inoltre ti salvaguardia, se ti fottono la pwd perché nella cache del PC che ti rubano sono cazzi tuoi, se hackerano l'app della banca loro.

 

PS di solito sono in più non al posto della pwd che cmqe serve

Modificato 16 Settembre, 2021 da mtpgpp

[Lord Gara]

Va beh stai ritardando l'inevitabile perchè comunque, come dicevamo sopra, i processi autorizzativi dei pagamenti elettronici sono disciplinati da una normativa europea di conseguenza chi prima o chi dopo dovrà adeguare il suo home banking, chiaro che a seconda di quanto sono bravi (leggi, ci vogliono spendere) possono renderlo retrocompatibile ma ci sono dei limiti.

In ogni caso stai dicendo un mucchio di fesserie.

Card dispositiva, token fisico e SMS dispositivo sono LA-STESSA-IDENTICA-COSA.

In principio era la card dispositiva, il problema della card dispositiva era sostanzialmente la necessità di doverla rigenerare ogni tot. operazioni ma va beh, erano tempi in cui l'uso dei pagamenti elettronici era limitatissimo e l'home banking era agli inizi, inoltre poteva essere facilmente persa/smarrita, in ogni caso quei codici erano associati al tuo conto tramite l'authorization manager della banca che possiede la chiave privata che genera quei codici.
Secondo te è sicuro perchè nessuno ti picchierebbe per rubarti la card dispositiva, ok, in ogni caso dovrebbero estorcerti anche il codice di accesso all'home banking, dicesi autenticazione a due fattori proprio per questo, l'insieme di un fattore che conosco (la password) e di un fattore che possiedo (la card).

Passiamo al token fisico, anche qua il token fisico è associato a una chiave privata, praticamente è una card che genera codici all'infinito. Anche qua abbiamo però un oggetto fisico che può essere smarrito perchè diciamocelo, non è qualcosa di uso comune.

Arriviamo poi alla virtualizzazione del token fisico, in questo caso la chiave pubblica è generata associando il dispositivo su cui l'app viene installata e registrata nell'authorization manager, di fatto il cellulare, un oggetto di uso comune le cui probabilità di smarrimento sono assai inferiori diventa il token che prima appendevamo alle chiavi per non perderlo.
Certo il cellulare può essere rubato ma normalmente un cellulare è protetto da un primo strato di sicurezza, il PIN del dispositivo, dopodichè devi conoscere user e pass dell'home banking o rubare anche l'identificativo biometrico del soggetto per entrare nell'app quindi non venirmi cortesemente a dire che si sta abbassando il livello di sicurezza.

Ora circa l'OTP.
L'OTP come dicevamo può funzionare in due modi.
Una in chiaro, ovvero l'SMS che io ricopio, anche qua non abbiamo una perdita di sicurezza perchè sono codici che dalla generazione hanno una vita limitata, non è che il codice dispositivo rimane attivo fino al completamento dell'operazione, se non viene utilizzato per un certo tempo (basso) questo perde validità.
Una tramite notifica push, questa ancora più sicura perchè non fa viaggiare da nessuna parte il codice dispositivo e, inoltre, triggera comunque l'inserimento della biometria, in assenza della biometria bisogna ridigitare il pin per validarla, praticamente ora per disporre un bonifico ho una sicurezza a tre fattori: qualcosa che so (la password), qualcosa che ho (il token/telefono), qualcosa che sono (la mia impronta digitale, volto)

E tu mi dici che si sta abbassando la sicurezza perchè non hai più la cartolina con i codici? Incredibile quante cavolate ci si può inventare per giustificare le proprie idiosincrasie.

Inoltre, non vuoi essere disturbato da cosa? Dall'app da cui stai inserendo il bonifico? Dal cellulare che ti serve per completare l'attività che tu stai eseguendo in quel momento? Sarebbe una interruzione? La notifica push la banca te la manda UNICAMENTE per confermare una disposizione, niente disposizione niente push, davvero di cosa stiamo parlando?

[Shuji]

38 minutes ago, Lord Gara said:

card dispositiva

Intendi quella che funzionava come una specie di battaglia navale, le coordinate etc?

Ho dei ricordi io per la questione dell'home banking che non ne hai idea, non so piu' quanto, tipo 20 anni fa o meno, uno dei primi servizi di home banking era dato dall'allora Telecom che aveva creato la famigerata Banca della rete, che si appoggiava agli sportelli del Banco di Roma per le operazioni (poi ha fatto vari cambi di governance e forse se c'e' e' legata a Sara assicurazioni)

Chissa' quanti qua dentro avevano gia' un conto corrente, e magari appunto uno online.

E' stata una bella parentesi cmq, il concetto di home banking era meraviglioso.

Per chi volesse approfondire:

https://www.cisco.com/web/IT/solutions/pdf/banca_rete.pdf

p.s.
e' strano come le cose migliori, quelle fatte per svolgere funzioni, siano appannaggio di certi anni.

[Lord Gara]

Ognuno aveva il suo metodo, Unicredit aveva i grattini per dire, Poste invece implementava un buffo sistema a due fattori che utilizzava un accrocchio loro che mettevi la card dentro e ti dava il codice dispositivo, l'ho visto usare solo una volta in vita mia dalla mia ex e non mi ricordo il dettaglio, era tipo il 2009.

Modificato 16 Settembre, 2021 da Lord Gara

[Shuji]

(Banca della rete era del 2000, inteso proprio come anno, figurati quanta acqua sotto i ponti)

Quello delle poste l'ho avuto, si metteva il bancomat dentro, si pigiavano dei tasti e spuntava fuori il numerino per l'autorizzazione.
Ma la cosa divertente
E' che lo spid delle poste funziona sempre con un otp generato ma temporalmente, assomiglia in questo al token di Bancasella, Webank aveva un sistema simile, uno dei due aveva un token e uno una card simile ad un bancomat con un display generante un codice simile a quello delle poste

[Shito]

1 hour ago, Lord Gara said:

Va beh stai ritardando l'inevitabile

Sì, è una delle mie specialità. :-D

[LeleSocho]

No, nell'esempio che volevo fare io stavo parlando anche solo nell'entrare in un app bancaria, se non hai un riconoscimento biometrico attivato devi inserire il pin specifico della banca che si spera sia diverso di quello del telefono.

Con riconoscimento biometrico usi lo stesso metodo per entrare sia nel telefono che nell'app (convenienza) e senza la paura che qualcuno alle spalle abbia visto il codice immesso (sicurezza).

[Shito]

Pensa che io sono uno che i dati sensibili li tiene in dei file .dmg lockati con encoding a 128-bit che contengono .rar lockati...

[LeleSocho]

Ah mi sono perso la ramificazione del thread e con esso una manciata di messaggi quindi in pratica ho fatto un post a vuoto, eh vabbè capita.

13 minutes ago, Shito said:

Pensa che io sono uno che i dati sensibili li tiene in dei file .dmg lockati con encoding a 128-bit che contengono .rar lockati...

Ma figurati anche io, tra parentesi trovo quantomai noioso dover creare dei .dmg per criptarli invece che avere il file nativo (per dire, un .png o un .rtf).