[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ] 

Archivio: Ottobre 2006 ml@sikurezza.org
Soggetto: Re: [ml] Verifica identita'
Mittente: Ing. Stefano Centineo - AMAP S.p.A.
Data: Thu, 26 Oct 2006 08:38:53 +0200 (CEST)
Ciao a te. 
Un saluto a tutta la lista.

In una applicazione B2B devo verificare l'identita'
di un cliente registratosi on-line.
Durante la registrazione vengono forniti vari dati:
PI, ragione sociale, indirizzo, nr. tel. fisso, ....

Ok.

Il metodo di verifica potrebbe essere:
- controllo che il nr. di telefono corrisponde effettivamente
 all'indirizzo e questo alla sede della ragione sociale;

???
e chi ti garantisce che l'utente che si sta registrando sia proprio
lui e non uno che ha preso i dati PUBBLICI della ditta caio (da CCIAA
Ag. Entrate, pagine bianche, gialle blu, ecc. ecc.) e ha registrato ad
insaputa della vera ditta caio ?

- telefono per verificare che risponda chi mi aspetto debba rispondere.

anche questo, supponendo che il numero sia stato messo in "nascosto"
sugli elenchi pubblici (difficile se si tratta di un'azienda, ma sempre possibile)
e io fornisco un numero mio al quale rispondo chi dice che quando
rispondo e confermo sono proprio io e non l'amministratore di caio ?

Quanto puo' essere giudicato affidabile questo sistema? 
vedi sopra...

Quali possibili exploit? 
due semplici semplici li ho appena descritto !

Alternative (già utilizzate):
- registri l'utente e "ti fidi" poi invii il contratto di accesso al servizio e il
caio di turno ti rimanda il papello cartaceo registrato + fotocopia C.I.+
firma autografa ecc. (sistema utilizzato da molte banche on line,
enti previdenziali come Inarcassa, Enti certificatori come Legalmail, ecc.)
- stessa procedura ma accetti documenti firmati digitalmente (vedi thread
su firma e certificati CA). In questo caso l'utente e' obbligato ad avere
una firma digitale ma, per le aziende e' praticamente diffusissima se non
obbligatoria (comunicazioni con CCIAA, ecc.)
- metti in linea un doc che l'utente compila e ti manda via fax + C.I.
- varie ed eventuali per i quali, comunque, sposti il tuo problema di
verificare _tu_ l'utente al fatto che e' l'utente a dimostrarti il suo interesse
per la piattaforma B2B anche con un banalissimo fax.

I mmeccanismi di convalida e utilizzo della piattaforma possono essere:
- attivati dopo il completamento della registrazione
oppure (funziona meglio come marketing)
- attivati subito ma sospesi in caso in cui non ti arriva la registrazione
   ufficiale.


Vi ringrazio.

de che.



[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005