Le one-time password via SMS non proteggono dagli errori umani

di Alessandro Vinciarelli

Pubblicato 9 Novembre 2007
Aggiornato 12 Febbraio 2018 20:50

Un’operazione di transazione online su cinque sembra vulnerabile ad attacco informatico, se l’utente usa le password inviate sul telefonino.

Come sappiamo non c’è operazione più delicata che una transazione di denaro online. Delicata nel senso che ogni accortezza e ricerca di protezione informatica è sempre auspicabile. Nel tempo si sono sviluppate tecniche di sicurezza per le password da immettere e per il continuo variare delle stesse.

Una nuova frontiera di questa ricerca è l’invio della password via SMS. Tuttavia l’utilizzo di password SMS per incrementare le misure di sicurezza nel campo dell’internet banking sembra non convincere la Queensland University of Technology, che con i propri studi rivela che gli utenti non ottengono, come sperato, un miglioramento della sicurezza dei loro account.

In particolare gli studi hanno evidenziato che i problemi che rendono questa metodologia scarsamente efficace non devono essere ricercati in particolari anomalie tecniche, ma nell’usabilità e nella concezione che l’uomo stesso ha nei confronti del SMS.

Il meccanismo di protezione utilizzato da molte banche è semplice. Nella maggioranza dei casi infatti viene inviata una one-time password direttamente sul cellulare dell’utente che poi deve occuparsi di copiarla correttamente nell’apposito campo per avviare la transazione. Questo meccanismo viene ripetuto per ogni singola transazione con l’intento di proteggere il più possibile il denaro dell’utente stesso.

Mohammed AlZomai, dell’Information Security Institute, ha detto che gli utenti non ricevevano alcuna notifica quando il numero di conto bancario nel messaggio SMS non era stato lo stesso del numero di conto atteso dalla banca.

Ovviamente lo studio si è sviluppato anche in una parte sperimentale nella quale alcuni “utenti controllati” eseguivano transazioni bancarie utilizzando il codice di autorizzazione ottenuto via SMS. Negli attacchi simulati, per la precisione di due diverse tipologie, una più forte con lo scostamento di cinque o più cifre rispetto alla versione corretta e un’altra con l’alterazione di una sola cifra, i risultati sono stati scoraggianti. Nel caso di scostamento di una cifra sono andati a segno il 61% degli attacchi, mentre per l’altro test hanno avuto successo il 21% dei casi.

Va considerato inoltre che della totalità degli utenti solamente il 79% è in grado di difendersi evitando l’attacco, mentre il restante % finisce nella trappola degli attaccanti. Ulteriore risultato di studio è che con una buona percentuale gli utenti che cadono nel tranello non riescono a comprendere l’identità dell’attacco.

A detta di AlZomai sembra quindi che il meccanismo che, fra l’altro, contempla le password via SMS non sia poi così sicuro e che rimane di fondamentale importanza che l’utente sia cosciente delle proprie azioni (e dei vari numeri di conto corrente), soprattutto quando sta eseguendo una transazione online.