Two-factor authentication

Quella della sicurezza al giorno d’oggi è una guerr e mmerda. Anche gli ultimi sfizi, quelli di prendere per i fondelli i phisher, sono diventati mode pericolose (colpevole!).

Per questo appena avevo letto questo post che spiega come usare la Paypal Key come token per VeriSign ed associarla ad un OpenID, mi sono affrettato ad ordinarla anche io nonostante OpenID sia moribondo: per 5$ il gioco vale la candela.

paypalkey

Provare il giochino dei numeri pseudo-casuali è divertente.

Ed a proposito di Two-Factor authentication, non posso fare a meno che consigliare questo post di Omar Shahine. Omar accenna anche all’uso di smartcard per me un po’ antipatico in quanto:

  1. richiede la presenza di uno smartcard reader. Su un Mac l’unica opzione è l’odiosa versione USB.
  2. ha la tendenza ad essere dimenticata nel lettore. Se la smartcard serve anche da badge (come appunto nel mio caso) la cosa diventa estremamente fastidiosa.

La soluzione più figa risulta essere la VeriSign VIP Credential ID, grande quanto una carta di credito ed adatta a finire nel posto più naturale del mondo, il portafogli:

verisign

Ora se solo Paypal decidesse di supportarle (magari a prezzo scontato come avviene per la security key) sarei un tantino più felice di adesso .

-quack

Technorati Tags:

Potrebbero interessarti anche:
Commenti (8):
1. Francesco
mercoledì 27 agosto 2008 alle 7:56 PM - unknown unknown unknown
   

mhm... Non ho ben capito i vantaggi di questo sistema

Che differenza c'è con un normale account paypal?

   
2. Alessandro
mercoledì 27 agosto 2008 alle 8:08 PM - unknown unknown unknown
   

E' esclusivamente USA la cosa? Perché ho provato ad ordinarl ae mi dice che è "momentaneamente non disponibile".

Altra questione: tu per cosa usi la smartcard? accesso a siti web con controllo di sicurezza o che? è una soluzione "estendibile" anche all'utenza normale?

   
3. Paperino
mercoledì 27 agosto 2008 alle 9:56 PM - unknown unknown unknown
   

@Francesco:

la differenza è che oltre alla password devi inserire il numerino che compare sull'aggeggio e che cambia ogni 30 secondi, stile 007. Anche se qualcuno ti ruba la password di Paypal, non può ancora autenticarsi.

@Alessandro:

Credo che sia nell'interesse di Paypal diffondere l'uso della security key nella maniera più ampia possibile. Quindi immagino che una soluzione prima o poi arriverà.

La smartcard è obbligatoria per le connessioni via VPN o via TS-Gateway. Purtroppo ha costi di manutenzione secondo me proibitivi per l'utenza semi-privata.

   
4. zakk
mercoledì 27 agosto 2008 alle 11:00 PM - unknown unknown unknown
   

Per accedere al mio conto in banca online utilizzo un aggeggio simile a quello della foto... Abbinato a nome utente e ad un PIN di poche cifre (non modificabile)... Mi sono sempre chiesto quanto il sistema sia sicuro

   
5. Paperino
mercoledì 27 agosto 2008 alle 11:26 PM - unknown unknown unknown
   

@zakk:

il PIN non modificabile lo rende più debole del necessario. La mia banca usa una animazione flash che misura la cadenza di battitura della password. Ovviamente ciò richiede la memorizzazione della password ed inibisce l'uso di Password Managers. Chiaramente la prima cosa che ho fatto è di disabilitare tale feature.

   
6. zakk
mercoledì 27 agosto 2008 alle 11:34 PM - unknown unknown unknown
   

Non avevo mai sentito l'idea di modificare la cadenza di battitura della password... Sembra interessante, ma forse un po' troppo error-prone (del tipo che se accedo da un altro computer magari digito un po' più lentamente e non mi fa entrare).

   
7. Paperino
giovedì 28 agosto 2008 alle 12:00 AM - unknown unknown unknown
   
   
8. gino
giovedì 28 agosto 2008 alle 11:20 AM - unknown unknown unknown
   

@zakk

secondo me intende che:

-il form in cui inserire la password è in flash e quindi è più difficile per un password manager classico che lavora sulle form html

-se anche ci riuscisse il form guarda se i caratteri entrano tutti insieme(ergo è il pc a sputarglieli dentro) oppure uno per volta "lentamente", cioè quando un uomo li batte sulla tastiera

   
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)