R: Internet banking security hole

>la sicurezza va garantita (ove possibile) anche con un occhio verso
>l'utonto che in qualche modo si affida alla banca come "consulente" 

Si ma ogni utente ha un proprio sistema, con una propria configurazione e
non utilizza solo un web browser...come posso garantire la sicurezza su un
sistema che non controllo direttamente?

>per quello che secondo me bisognerebbe spingere verso una piattaforma
>comune, basata sulle smartcard con chiave pubblica e privata e password
>di sblocco, meglio ancora se quest'ultima e' una scansione delle
>impronte digitali

Il sistema che hai descritto è indubbiamente notevolmente sicuro ma si
scontra con alcune problematiche:

- quanti utenti non avrebbero problemi ad utilizzare una smartcard?
- quanti utenti, al primo errore che i dispositivi mostrassero, non
andrebbero in paranoia e non si fionderebbero a chiamare l'help desk?

Io credo che già il 50% dei comuni utenti avrebbero difficoltà ad installare
un certificato digitale memorizzato su un floppy...
Inoltre sarebbe abbastanza oneroso dotare i clienti (su cui ovviamente
ricadrebbero i costi) dei lettori, senza considerare il supporto tecnico
(sia software sia hardware) necessario. 

Ciao
Damiano


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List