Conti Correnti Online Sicuri Con Le One-Time Password
Ieri mi è arrivata una lettera di Banca Antonveneta che mi ingiunge gentilmente di passare a ritirare il mio nuovo Ge.Co.
Che cosa è un Ge.Co!?
Ge.Co. È l'acronimo di "Generatore di Codici". Si tratta di un aggeggio elettronico, simile ad un telecomando per la porta del garage e dotato di un piccolo display a LCD. Su quel piccolo display a LCD viene visualizzata una "password" numeri casuali di sei cifre che cambia ogni 30 secondi.
Per accedere ai servizi di home banking di Banca Antonveneta è necessario digitare username e password (tradizionale) e questo codice (che ovviamente è sincronizzato con un analogo aggeggio che si trova sul server).
In pratica, se anche qualche furbacchione fosse riuscito ad entrare in possesso delle vostre credenziali di accesso al vostro sistema di home banking, dovrebbe comunque riuscire a calcolare questa password in modo che sia quella giusta per il momento esatto in cui tenta l'accesso. Si tratta chiaramente di qualcosa di quasi impossibile da realizzare.
Ma vediamo come funziona.
Più esattamente, la teoria (ed anche la pratica) della crittografia (vedi "Applied Cryprtography" di Bruce Schneier) ci dice che violare un sistema protetto da password "usa e getta" di questo tipo è effettivamente impossibile, non importa cosa si inventi l'hacker. L'unico modo di riuscire ad entrare nel sistema è quello di impossessarsi del Ge.Co.
Questi sistemi si chiamano "One-Time Pad" o "One-Time Password" e sono caratterizzati dal fatto che la password non viene mai riutilizzata. Di conseguenza, l'hacker non ha nessuna informazione "storica" su cui basarsi per "calcolare" la nuova password e deve tirare ad indovinare. Già con 6 cifre decimali, riuscire ad indovinare la password vuol dire indovinare un numero tra un milione.
In vita mia avevo già visto aggeggi di questo genere, alcuni dei quali prodotti da una delle aziende che ora produce (anche) i Fritz Chip. Ne ho visto anche alcune versioni implementate in software per i dispositivi palmari (PalmTop, Smart Phones e PDA), una delle quali è in grado di generare password lunghe fino a 16 caratteri alfanumerici (cioè numeri da 0 a 9 o lettere da A a Z, senza distinzione tra maiuscole e minuscole).
Potete vedere qualche implementazione di sistemi OTP a queste URL:
http://student.dei.uc.pt/~subtil/paranoia/
http://www.inner.net/opie
http://www.ocf.berkeley.edu/~jjlin/jsotp/about.html
Con una password di 16 caratteri di questo tipo (10 numero + 26 lettere per ognuna delle 16 posizioni) si deve "centrare" una password su 3,6Ã--10^16 (36 alla 16), cioè 7,95Ã--10^23 (Circa 8 alla 23-esima). La probabilità di vincere al Superenalotto è molto più elevata: circa 1 su 600.000.000 (1 su 6Ã--10^7). Per farvi una idea di cosa voglia dire una probabilità di 1 su 8Ã--10^23, provate a studiarvi questa pagina che parla dei grandi numeri:
http://kokogiak.com/megapenny/
A parte fare i miei più sinceri complimenti a Banca Antonveneta per questa scelta, e consigliare a tutti voi di aprire un conto corrente presso questa banca, vorrei dire una cosa:
Questo aggeggio (prodotto in Cina, dimensioni da portachiavi, pila al litio che dura 10 o 20 anni, costo approssimativo di meno di 20 centesimi di euro, nessun comando di nessun genere, per cui niente da capire, solo il display da leggere) permette di garantire una sicurezza di accesso ad un sistema assoluta (e quindi superiore a qualunque altro sistema). C'era davvero bisogno di piazzare un Fritz Chip in ogni dannato aggeggio elettronico del pianeta per difenderci da Virus, Worm, Cavalli di Troja, Hackers/Cypher/Intruder e via dicendo? Sono credibili le giustificazioni del Trusted Computing Group a sostegno del loro "ragnetto"?
Buona riflessione.
PS: Se vi interessa l'argomento "numeri molto grandi o molto piccoli", date un'occhiata a queste altre URL:
http://home.earthlink.net/~mrob/pub/math/largenum.html
http://www.truthpizza.org/logic/bignum.htm
http://www.iun.edu/~cpanhd/C101webnotes/measurements/large-small-num.html
Cercando un po' sulla rete con Google potete trovare anche qualche sito che spieghi cosa voglia dire una probabilità di 1 su un milione o di 1 su 8Ã--10^23, ad esempio comparando queste probabilità con la probabilità di vincere al Superenalotto (1 su 600.000.000) o con quella di venire centrati da un meteorite (1 su 100.000.000, se non ricordo male).
Articolo originale di Alessandro Bottoni intitolato Sicurezza assoluta con le One-Time Password pubblicato in data 8 aprile 2006.
Alessandro Bottoni alias "La spina nel fianco" è un consulente informatico che si occupa di tecnologie di rete e di sicurezza. Alessandro collabora con alcune riviste cartacee dedicate al mondo Linux ed all'Open Source. Da Gennaio 2006 è il responsabile della rubrica "Untrusted" di Punto Informatico, una rubrica dedicata al Trusted Computing.
Sintonizzatevi subito su Alessandro, ne vale la pena.
blog comments powered by Disqus