La variante che sto attualmente cercando sono le chiavi Yubico e sto cercando dove potrebbe funzionare ovunque con il provider. Si parla molto di questo metodo su YouTube. A proposito, anche al di fuori di Swisscom, intendo
La 2FA con SMS è probabilmente la variante meno sicura. Purtroppo Swisscom offre solo questo e MobileID.
Questo ha anche lo svantaggio se, ad esempio, si perde il cellulare e non funziona più nulla. Non sono riuscito nemmeno a bloccare la mia SIM da solo.
Sarebbe finalmente giunto il momento che Swisscom consentisse anche il TOTP tramite app per 2FA o, per quanto mi riguarda, U2F tramite Yubikey, ad esempio.
@WalterB Penso che tu abbia bisogno di scoprire qualcosa in più sugli Yubikey. Penso che al momento non ci sia praticamente nulla di più sicuro per gli utenti privati di ciò che è anche facile da usare.
grazie @CorinaS per questo articolo sulla doppia chiusura 😀
“Errare humanum est, perseverare diabolicum”
“Errare è umano, perseverare [nel proprio errore] è diabolico”
“On apprend parfois plus d'une défaite que d'une victoire” — José Raúl Capablanca
@hed Sì, certo. Ma se imposti il TOTP in iCloud o 1Password o Bitwarden, ad esempio, ciò non accade. Solo se salvi l’app, ad esempio, su un secondo dispositivo.
Con MultiDevice gli SMS funzionano solo su 1 dispositivo. Proprio come MobileID!
E se hai solo 1 chiave, è comunque colpa tua. Ci sono persone che hanno un’idea di queste questioni di sicurezza e vogliono evitare, se possibile, gli SMS. MobileID sarebbe sicuramente utile, ma purtroppo è limitato a 1 solo dispositivo.
Oh mio Dio, ma la 2FA via SMS sullo stesso cellulare è probabilmente un brutto scherzo!
Come sarebbe se Swisscom offrisse un 2FA *reale* e non intercettabile tramite il TOTP?
Secondo me, quello sarebbe un vero guadagno in termini di sicurezza perché a questo scopo potrebbe essere utilizzato un secondo dispositivo. Siamo spiacenti, la 2FA tramite il dispositivo identico è probabilmente un brutto scherzo!
Scusate ma probabilmente il 2FA via SMS sullo stesso cellulare è un brutto scherzo!
Che ne dici se Swisscom avesse un 2FA *reale* e non intercettabile tramite il TOT[P](https: // www.zaun7.de/doppelstabmattenzaun “recinzione con materassino a doppia asta”) offrirebbe?
Secondo me, Questo sarebbe un vero guadagno in termini di sicurezza perché a questo scopo potrebbe essere utilizzato un secondo dispositivo. Siamo spiacenti, la 2FA tramite il dispositivo identico è probabilmente un brutto scherzo!
Scopri anche mobili da giardino a Zurigo. E Acquista recinzione in rete a doppia asta!
Totalmente d’accordo con te! Il tuo approccio sembra ragionevole.
L’idea con TOTP è che non devi farlo tramite lo stesso dispositivo (leggi “App” / SMS / MobileID), ma puoi utilizzare qualsiasi altro dispositivo abilitato a Internet per 2FA!
(Purtroppo i responsabili di Swisscom non sembrano voler rendersi conto che la 2FA sia tramite SMS che MobileID tramite l’apparecchio IDENTICO esclude di per sé il SECONDO FATTORE.
Ma come si suol dire: la speranza è l’ultima a morire! - Forse col tempo anche i responsabili di Swisscom faranno uno spuntino sull’albero della conoscenza <spero>)
Addendum: Per i responsabili l’“effetto aha” potrebbe manifestarsi al più tardi quando saranno loro stessi vittime del furto/smarrimento di un dispositivo mobile. Dal punto di vista della sicurezza, era ed è semplicemente un’idea stupida voler concatenare tutto a un unico dispositivo! Comodo? - va bene SICURO???? - nei tuoi sogni (bagnati)!!!!
Grazie per lo spot pubblicitario di Apple 😁
(dovrebbero esserci anche persone che
*neppure i soldi
*ancora l’opportunità
- resta la voglia di adeguarsi “alla Cupertino”.
Avere)
Il problema rimane che il 2FA senza un vero secondo fattore è solo una pia bugia.
Addendum
E non appena la 2FA coinvolge un americano/cinese/beat-me-dead/terza parte, “morisce” comunque!
Se guardi indietro un po’… gli SMS erano considerati indistruttibili e assolutamente sicuri. C’erano banche che lo fornivano come unico 2FA per i propri clienti.
In alternativa esisteva un token che mostrava un codice diverso ogni 10 secondi.
Se l’utente accedeva a un sito web falso, il reclamo era limitato al saldo del rispettivo conto.
Poi è successo l’incredibile, l’inimmaginabile.
L’utente ha effettuato l’accesso a un sito Web falso e gli è stato chiesto di fornire tutti i tipi di dati del cellulare incluso nel contratto online come parte di un “controllo di sicurezza”.
Con questi dati rubati i truffatori sono riusciti a creare una carta d’identità falsa per potersi identificare, ad esempio, in uno Swisscom Shop.
Successivamente è possibile ottenere un duplicato del cellulare tramite la compagnia telefonica (parola chiave: multi-SIM).
Impostare quindi tutti gli SMS da inviare all’altro cellulare.
Così:
1. Accedi al sito web della banca reale con i dati ottenuti tramite il sito web falso.
2. Poiché ora tutti gli SMS vengono inviati all’altro cellulare, il conto titoli e tutti i conti possono ora essere liquidati in tutta tranquillità.
Con questa procedura di login “sicura” si sono verificati isolati crediti giganteschi fino a circa un quarto di milione di franchi.
Ciò non era possibile con le altre procedure di accesso finora comuni, dalla lista dei graffi a quella con il token, perché si poteva accedere solo al rispettivo saldo del conto.
Le banche ora hanno spinto CrontoSign: per alcune banche è l’unica procedura di accesso per i clienti.
Ora i truffatori dovranno rubare la lettera di attivazione per integrare un altro apparecchio nell’online banking della vittima.
Questo obiettivo è stato raggiunto adesso? In questo caso i danni sarebbero altrettanto giganteschi che nel caso degli SMS.
Glotzologo
In banca ho un livello di sicurezza ancora più elevato rispetto al “solo” 2FA. Ho chiesto alla banca di impostare il portale in sola lettura, quindi il conto di risparmio è protetto e se viene rubato dagli hacker, la piena responsabilità è della banca.
Le operazioni di pagamento vengono effettuate tramite Postfinance, dove logicamente ho anche il diritto di scrittura, ma sul conto solo il denaro necessario. Ciò significa che il rischio di perdita è molto limitato anche nello scenario peggiore.
“La piena responsabilità è della banca”
Hai letto i termini e le condizioni? 😉
Di solito si dice che il titolare del conto (DU) acconsente ad ogni transazione inviata alla banca nel rispetto delle consuete impostazioni bla-di-bla.
Sarei *molto* sorpreso se Postfinance gestisse le cose diversamente!
(Preferisco fidarmi di una banca regionale *vera* con cui posso parlare di persona - prova Postfinance - “buona fortuna”!)
ma sto andando un po’ fuori tema: SCUSA!
@Anonimo
Secondo le condizioni, nella maggior parte dei casi il cliente è responsabile se il conto viene “svuotato” tramite il canale eBanking. Il caso di sola lettura non si riflette nelle condizioni generali perché sono solo pochi i clienti che lo hanno richiesto, anche nelle grandi banche.
Ho quindi fatto confermare per iscritto dalla banca che in caso di accesso in sola lettura il cliente non può essere perseguito anche se maneggia le credenziali con negligenza.
E per favore rileggi attentamente il mio post. Presso Postfinance ho il diritto di scrittura e di lettura e quindi sono responsabile in caso di utilizzo improprio delle credenziali. Ecco perché ho ridotto al minimo il rischio di responsabilità con PF mantenendo su questo conto solo la quantità di denaro necessaria.
