E-Family BNL

293 views
Skip to first unread message

Chris

unread,
Jan 27, 2005, 11:21:02 AM1/27/05
to
Salve a tutti,
non so quanti di voi abbiano un conto corrente con BNL ma da qualche
giorno hanno cambiato il loro sistema di e-commerce andando ad utilizzare
il metodo descritto su questa pagina:
http://www.e-familybnl.it/efamilymain/index.jhtml?primaVolta=2&archivio=editoriale&articoloEsteso=1&articoloInVisualizzazione=521

In pratica danno un affarino che produce una nuova password ogni mezz'ora
che deve venire usata per entrare nel portale e-commerce.

Volevo sapere cosa ne pensate riguardo alla sua sicurezza. Vedete qualche
falla nel sistema? O magari qualcuno conosce il tipo di cifratura usata
(chiavi pubbliche/private o quant'altro).

Grazie mille,
Chris.

quaqo

unread,
Jan 28, 2005, 3:14:20 PM1/28/05
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Chris ha scritto:
[...]


> In pratica danno un affarino che produce una nuova password ogni mezz'ora
> che deve venire usata per entrare nel portale e-commerce.

E` un semplice "security token" molto simile al SecureID della RSA. E`
un dispositivo di autenticazione, non di crittografia.

Dovrebbe aumentare la sicurezza.

Saluti,
Federico
- --
On the Net/MSN: quaqo <qu...@despammed.com> [X.509 available]
Linux Reg. User: #263663 / Machine: #216144 (Arch Linux/Wombat)
On the Web: http://www.quagliata.eu.org - My GPG Key:0x5539D8E4
On ICQ: 48618109 - On Jabber: qu...@jabber.org/@jabber.linux.it
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFB+p0cZXjZQFU52OQRAhfuAKDRhckk5LzJ8LjFf0Tf2qZzLiDmUQCcDZvC
GhPiiizpjtTwgAvpzPwYLO0=
=6hTe
-----END PGP SIGNATURE-----

quaqo

unread,
Jan 29, 2005, 7:14:37 AM1/29/05
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Chris ha scritto:
[...]
> Secondo te è più efficace del vecchio sistema che utilizzava un
> certificato digitale associato ad un proxy? (solo le tue impressioni,
> niente di più).

Non conosco "il vecchio sistema", se potessi essere piu` chiaro.

Ad ogni modo e` un buon sistema di autenticazione.

Saluti,
Federico
- --
On the Net/MSN: quaqo <qu...@despammed.com> [X.509 available]
Linux Reg. User: #263663 / Machine: #216144 (Arch Linux/Wombat)
On the Web: http://www.quagliata.eu.org - My GPG Key:0x5539D8E4
On ICQ: 48618109 - On Jabber: qu...@jabber.org/@jabber.linux.it
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFB+34tZXjZQFU52OQRAtGpAKDco1oGB6YV+A3V7qGtJK8k5I2GPACg1+zf
gMJgSzflqRYLyri0gPkAUxM=
=cvSe
-----END PGP SIGNATURE-----

Chris

unread,
Jan 29, 2005, 4:51:46 AM1/29/05
to
On Fri, 28 Jan 2005 21:14:20 +0100, quaqo wrote:

> E` un semplice "security token" molto simile al SecureID della RSA. E`
> un dispositivo di autenticazione, non di crittografia.
>
> Dovrebbe aumentare la sicurezza.
>
> Saluti,
> Federico
>

Secondo te è più efficace del vecchio sistema che utilizzava un


certificato digitale associato ad un proxy? (solo le tue impressioni,
niente di più).

Grazie.

Chris

unread,
Jan 29, 2005, 8:42:06 AM1/29/05
to
On Sat, 29 Jan 2005 13:14:37 +0100, quaqo wrote:

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Chris ha scritto:
> [...]
>> Secondo te è più efficace del vecchio sistema che utilizzava un
>> certificato digitale associato ad un proxy? (solo le tue impressioni,
>> niente di più).
>
> Non conosco "il vecchio sistema", se potessi essere piu` chiaro.
>

Si hai ragione, scusa, il fatto è che nemmeno io so esattamente come
funzionasse. In pratica si aveva un certificato digitale (un file)
rilasciato dalla banca e un programma (MultiCertify) che fungeva da proxy
per le connessioni https. I funzionamenti "sotto il cofano" non li so.

Avevo aperto la discussione anche su i.c.s.varie e Skull descriveva la
faccenda così:

"Il loro problema fondamentale era l'identificazione dell'utente, in
funzione di qualcosa che l'utente *ha*. Prima veniva fatto tramite
certificato, ma guidare un utente "normale" al suo utilizzo è da incubo,
quindi si son rivolti a quella tavanata di proxy per snellire la cosa,
perdendo la stragrande maggioranza delle utenze non windows"

Quello che mi preoccupa del nuovo sistema è la possibilità di risalire
all'algoritmo usato dagli aggeggini per generare la password di modo che
sapendo l'Id di uno di questi fosse possibile riprodurlo in tutto e per
tutto. Pensi sia possibile?

Grazie, ciao!

Lapo Luchini

unread,
Jan 31, 2005, 8:12:52 AM1/31/05
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Chris wrote:
> Quello che mi preoccupa del nuovo sistema è la possibilità di risalire
> all'algoritmo usato dagli aggeggini per generare la password di modo che
> sapendo l'Id di uno di questi fosse possibile riprodurlo in tutto e per
> tutto. Pensi sia possibile?

Questi "aggeggini" in genere utilizzato crittografia al loro interno,
quindi SE SONO FATTI BENE, possono essere decisamente sicuri.

Se sono fatti male possono anche non esserlo, ma questo è scontato ^_^

- --
L a p o L u c h i n i
l a p o @ l a p o . i t
w w w . l a p o . i t /
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (Cygwin)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iEYEARECAAYFAkH+LtMACgkQaJiCLMjyUvtaJgCfUsEdm3rrEhMaenUNdFDpvQCF
dZwAoJ2G1SOa/wTZruBzR4AE6355tTfW
=/KDg
-----END PGP SIGNATURE-----

Skull

unread,
Jan 31, 2005, 8:58:01 AM1/31/05
to
Lapo Luchini wrote:

>>Quello che mi preoccupa del nuovo sistema è la possibilità di risalire
>>all'algoritmo usato dagli aggeggini per generare la password di modo che
>>sapendo l'Id di uno di questi fosse possibile riprodurlo in tutto e per
>>tutto. Pensi sia possibile?
>
>
> Questi "aggeggini" in genere utilizzato crittografia al loro interno,
> quindi SE SONO FATTI BENE, possono essere decisamente sicuri.
>
> Se sono fatti male possono anche non esserlo, ma questo è scontato ^_^

Ciao, mi attacco al thread, visto che son stato io a ridirigere l'op qui
e che comunque la cosa mi interessa.

Posto che sono tuttaltro che esperto di crittografia, ho sempre
immaginato che 'sti aggeggi siano realizzati facendo uso di un
generatore di numeri non ciclico, allineato tra il server e l'aggeggino
dell'utente, e una coppia di chiavi (asimmetriche?) che viene utilizzata
per codificare e validare tale valore dal lato del server (se
crittografia asimmetrica il server capisce quale chiave usare sulla base
del pin fornito dall'utente, che lo correla univocamente alla chiave).

La sicurezza del "coso" sta pertanto nel fatto che più che replicare il
funzionamento dell'oggetto bisogna:
- replicare il generatore non ciclico
- allinearlo piuttosto precisamente con l'originale
- appropriarsi della chiave presente sul "coso" dell'utente che si vuole
impersonare
- essere a conoscenza del pin dell'utente stesso

Ci sono andato vicino?

--
cat: .signature: No such file or directory

Lapo Luchini

unread,
Jan 31, 2005, 9:32:54 AM1/31/05
to
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Skull wrote:
| La sicurezza del "coso" sta pertanto nel fatto che più che replicare il
| funzionamento dell'oggetto bisogna:
| - replicare il generatore non ciclico
| - allinearlo piuttosto precisamente con l'originale
| - appropriarsi della chiave presente sul "coso" dell'utente che si vuole
| impersonare
| - essere a conoscenza del pin dell'utente stesso

In genere il dato che viene crittato un semplice contatore che si
incrementa ogni tot secondi o l'orario stesso, tanto ci pensa il
successivo passaggio attraverso il cifrario a togliere ogni correlaizone
dell'input.
In questo modo il server, che conosce la chiave giusta per decrtitare,
può direttamente verificare a che ora è stato generato il timestamp e
dare il modo di configurare le "finestre" di accettazione dei valori
(una qualche finestratrua è necessaria: il clock interno dell'aggeggino
nno ha certo precisione infinita e l'utente ci mette un tempo non nullo
a digitare tutto il codice).

| Ci sono andato vicino?

Sì, il concetto è quello.

~ Lapo

- --
L a p o L u c h i n i
l a p o @ l a p o . i t
w w w . l a p o . i t /
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (Cygwin)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iEYEARECAAYFAkH+QZYACgkQaJiCLMjyUvtJjgCePoLarnI1by3saHXOii6A6ueG
qicAoNizWsjd6tJ36RvyTkUYZeX9DH6k
=Rib5
-----END PGP SIGNATURE-----

Francesco R.

unread,
Feb 6, 2005, 12:32:43 PM2/6/05
to
Chris wrote:

> Salve a tutti,
> non so quanti di voi abbiano un conto corrente con BNL ma da qualche
> giorno hanno cambiato il loro sistema di e-commerce andando ad
> utilizzare il metodo descritto su questa pagina:
> http://www.e-familybnl.it/efamilymain/index.jhtml?primaVolta=2&archivi
> o=editoriale&articoloEsteso=1&articoloInVisualizzazione=521

Scusa, tu per caso usi ancora i loro multicertify?
Se si hai un firewall software? Perchč io non riesco ad aprire le porte
giuste sul firewall!

Garazie
f

Chris

unread,
Feb 8, 2005, 3:36:38 AM2/8/05
to
On Sun, 06 Feb 2005 17:32:43 +0000, Francesco R. wrote:
> Scusa, tu per caso usi ancora i loro multicertify?
> Se si hai un firewall software? Perchč io non riesco ad aprire le porte
> giuste sul firewall!

Si, lo uso ancora e no, non ho un firewall software. Da firewall mi fa il
router wireless della Apple (Airport) e non mi ha mai dato problemi nel
senso che proprio non l'ho toccato, ho lasciato le impostazioni di default
e tutto funziona.

Ciao!

Reply all
Reply to author
Forward
0 new messages