Da pochi giorni sono in possesso del mio Token bancario, un piccolo dispositivo che a prima vista può sembrare proprio un portachiavi e che permette di avere una sicurezza maggiore nella gestione del proprio conto online. Alcune banche lo offrono gratuitamente mentre altre richiedono il versamento di una piccola somma, altre più astutamente (secondo loro) ne impostano l’uso obbligatorio a partire da una certa data oltre la quale non è più possibile utilizzare le vecchie credenziali (Password, Password dispositiva, Codice di Verifica etc.). Una domanda che mi sono posto subito dopo averlo acquistato è stata: in che modo questo strumento aumenta la sicurezza delle mie operazioni bancarie online?

Si parte da un presupposto, esistono tre diversi metodi di autenticazione online:

  • by Something you Know (SYK): l’autenticazione viene effettuata chiedendoti qualcosa di cui solo tu sei a conoscenza (una password);
  • by Something you Have (SYH): l’autenticazione avviene in base a qualcosa che possiedi (un Token o qualsiasi oggetto che sia identificabile in maniera univoca);
  • by Something you Are (SYB): l’autenticazione avviene in base a te come persona (riconoscimento facciale => sistemi biometrici).

Partendo dal presupposto che l’implementazione di sistemi Biometrici è molto complessa e di difficile implementazione, il massimo livello di sicurezza si ottiene combinando insieme le prime due modalità di autenticazione (SYK e SYH). Quindi una Password associata ad un dispositivo possono garantirci un livello di sicurezza più elevato. Il Token genera continuamente nuovi codici di sicurezza la cui validità ha una durata ben stabilita oltre la quale diventano inutilizzabili (per esempio il mio viene rigenerato ogni 3 minuti indicando sul display laterale quanto tempo manca alla scadenza del codice visualizzato). In questo modo le banche hanno la possibilità di poter verificare la reale validità di un codice inserito.

Esistono due differenti tipologie di Token:

  1. time-based: genera un codice il cui calcolo dipende dalla data e l’ora corrente, in questo modo la banca può controllare che chi effettua l’accesso in quel momento è in reale possesso di un Token valido. Questa modalità di autenticazione necessita che Server e Token abbiano lo stesso algoritmo di calcolo basato su data e ora. Sarebbe teoricamente possibile poter generare un codice senza essere in possesso del Token e, altra cosa, è necessario mantenere in sincronia server e Token per far si che i codici generati possano essere considerati davvero validi.
  2. event-based: genera un codice il cui calcolo dipende dall’evento o più semplicemente dal numero di volte che viene richiesta la generazione. In pratica all’interno del Token è memorizzata una tabella di codici, un dato che viene condiviso anche con il server. L’ordine con cui questi codici vengono utilizzati non ha importanza ma se ne viene usato uno, successivamente quelli che lo precedono non hanno più validità. Un dispositivo di questo tipo non richiede potenza di calcolo per la generazione del codice ma è meno sicuro in quanto qualcuno, entrando a contatto con il Token, potrebbe aver avuto accesso alla tabella di codici.

Molti articoli che ho letto a riguardo sottolineano sempre la stessa cosa: non esiste un Token più o meno sicuro dell’altro, è necessario dare importanza a tutto l’iter che viene seguito per le operazioni online: cambiare spesso password, essere sicuri di eseguire operazioni da una postazione protetta e porre tutta la propria attenzione sulla gestione di queste informazioni!

[ad#ad-lungo]