Bancoposta “Card Reader”
Sono fortunato cliente Bancoposta, cosa di cui mi vergogno.. Mi è arrivata a casa una lettera che mi intimava di passare all’ufficio postare a ritirare lo Smart Card Reader Bancoposta. Incuriosito dall’oggetto sono andato subito a prenderlo.
Sembra una calcolatrice, stesso colore blu del preziosissimo euro convertitore che ci aveva regalato Berly, 2 belle batterie usa e getta, e una fessura per inserire la smartcard.
Tutti i possessori di un conto Bancoposta hanno una smartcard (che non è una carta di credito, per avere una carta di credito bisogna fare un’altra carta.. ) ed un codice segreto. Quando si vuole fare una SINGOLA operazione online bisogna:
- Aprire il sito bancoposta
- Fare login con nome utente e password
- Selezionare l’operazione desiderata e descriverla dettagliatamente
- Prendere il lettore smart card
- Infilare la scheda smart card
- Selezionare dal menu la voce “firma digitale”
- Il sito banco posta da un codice da inserire lettore, univoco per l’operazione
- Digitare il codice nel lettore
- Digitare il pin della smartcard
- Il lettore smartcard restituisce la firma digitale (un altro codice)
- Ricopiare quest’ultimo sul browser
A questo punto si può andare avanti con l’operazione.
Sul foglio c’è scritto che è comodissimo, praticissimo.
Io che ste cose le ho studiate non sono riuscito a trovare in letteratura una alternativa più complicata e scomoda di questa. Grazie Poste Italiane.
Faithfully.
P.S.
Ero andato in posta per consegnare la documentazione per il RIMBORSO di un pacco celere che ho spedito e non è mai arrivato a destinazione.
Ci devo andare anche io a ritirarlo… che palla!
L’ho fatto ed è una vera cacata, per poter fare le operazioni online devi avere dietro il coso e la carta, il massimo della scomodità!
Sinceramente penso sia stato un passo avanti: era forse piu comodo e *sicuro* un codice di 10 cifre su un pezzo di carta? Ci sono 2^10 motivazioni per cui questo metodo era insicuro, e se hai studiato queste cose, lo sai benissimo. Io per esempio lo tenevo memorizzato sul computer, crittografato. Sistema ugualmente violabile con poche accortezze.
Non è pensabile al giorno d’oggi basare l’autenticazione soltanto su qualcosa che si conosce.
La SanPaolo ha adottato un token OTP, anch’esso intelligente ma forse leggermente meno sicuro: sono sempre discorsi al limite lo so, ma in ambito di sicurezza IT si devono fare queste ipotesi. Ipotizzando che ti venga sottratta la credenziale di login (con i metodi classici), cosa ci vuole a rubare un portachiavi? Se invece il PIN della smart card non va inserito in un computer (dove può essere sottratto allo stesso modo delle credenziali) ma in un dispositivo esterno il tutto è altamente sicuro e difficilmente violabile con metodi passivi come per le soluzioni precedenti.
Sono d’accordo con te che non sia comodo da portare in giro e che il Token della San Paolo (che anch’io possiedo) sia piu pratico e maneggevole, per esempio se vai in vacanza. E d’accordo anche sul fatto che sono e rimangono attacchi che non tutti sono all’altezza di completare, ma nella scelta globale di un’azienda che ha migliaia di utenti, si deve pensare anche a queste cose.
Poi ognuno ha la propria concezione di sicurezza (chi dettato da esperienza, chi da conoscenza, e chi da ignoranza), se vuoi qualcosa di piu pratico e al tempo stesso con un buon grado di sicurezza, ti consiglio ZeroTondo di Intesa SanPaolo: costo zero, Token OTP, e moltissimi sportelli bancari dell’unione (è una fusione di piu banche).
-Michele
Altra domanda interessante: che si fa quando finiscono le batterie? Io non vedo uno “sportellino” classico…. ci son 4 viti che ho paura a svitare ed un qualcosa che somiglia ad uno sportellino sotto il tasto verde “OK” … ma sembra bloccato.
Immagino che quando le batterie terminano bisognerà rifare la fila alla Posta per farselo cambiare con uno con batterie cariche.
“Gratuitamente” … in questa parola è racchiusa una enorme bugia: chi mi ripaga dell’ora spesa in fila? Chi mi rimborsa lo smaronamento dovuto all’attesa in coda con pensionati che parlano di malattie e litigano per la priorità in fila in base ad un punteggio che si accumula per gravità dei disturbi di salute? “Sa, io ho un perno nel ginocchio” … “E io nel femore!” .. “OK, passi prima lei”