Autenticazioni (in)sicure

Salve,
mi chiedevo se fosse possibile, sfruttando bug dei protocolli di signaling, falsificare il Caller ID di una chiamata proveniente da un numero cellulare.

A quanto ne so ciò è possibile, ma non risulta possibile farlo anche sui tabulati telefonici degli operatori.

In considerazione di questa possibilità mi domandavo dunque quanto fossero affidabili servizi di login via cellulare (al posto di User e Psw) come Saintlogin (http://www.saintlogin.com/) e KeyPhone (http://pratiche.comune.venezia.it/indexkey.htm).
Inoltre il primo si presenta anche come una soluzione al problema dei micropagamenti, ma unisce il sistema solito del login via mobile phone all'inserimento di un PIN in una sessione criptata (che peraltro sembra quasi una "ammissione" di possibile lacune del sistema precedente).

Una terza soluzione, a mio giudizio la più affidabile, potrebbe essere RSA Mobile (http://www.rsasecurity.com), il cui meccanismo è leggermente differente: con ID e Psw si richiede l'arrivo di una email o di un SMS con codice che permetterà poi l'autenticazione. Tuttavia questa mi sembra una soluzione più complessa, delle precedenti due, e forse più adatta per l'autenticazione riguardo servizi "importanti".


Fiducioso,
attendo maggiori informazioni riguardo questi o altri sistemi di autenticazione che non fanno uso di hardware o software specifici.

Teddy Freek.


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List