Le chiavette a dati di parità, usate per accedere a servizi sicuri come quelli di homebanking, sono meno sicure di quanto si ritenesse. Si tratta di piccoli dispositivi la cui funzione è generare un codice numerico, in tandem con un server. Questo dato è poi usato come per l'accesso a un sito, insieme a nome e password, e così ci si assicura che solo un utente autorizzato possa accedere ai servizi.
La chiavetta RSA nella versione di Unicredit
Tale sistema è universalmente ritenuto tra i più sicuri al mondo, per la protezione dei dati sensibili. Se infatti qualcuno riuscisse a rubarvi nome e password del conto bancario, non potrebbe comunque accedervi. La chiavetta – nella mani del cliente finale – e il server infatti generano un numero semi-casuale ogni 60 secondi. Se non s'inserisce il numero corretto, l'accesso ai servizi (conto bancario o dati aziendali) è precluso.
Per offrire questo tipo di accesso sicuro ai propri clienti o ai propri lavoratori bisogna acquistare la tecnologia SecurID da RSA - la divisione di sicurezza di EMC. Ed è proprio RSA ad aver scoperto che il sistema non è "blindato" come si credeva. Qualcuno ha infatti attaccato i server dell'azienda, e sottratto parte dell'algoritmo usato per generare i codici numerici.
"Al momento siamo certi che le informazioni rubate non siano sufficienti a perpetrare un attacco diretto a nessuno dei nostri clienti SecurID, ma potrebbero essere usate per ridurre la sicurezza del nostro sistema a dati di parità. Stiamo comunicando con tutti i nostri clienti, fornendo loro tutte le informazioni necessarie per ripristinare la massima sicurezza", spiega RSA in un comunicato stampa. L'azienda non è però stata più precisa sulla natura dei dati sottratti.
Più che l'attacco specifico in sé, quello che intimorisce è il fatto che un sistema sul quale molti di noi contavano, non ultime le principali banche italiane, si è rivelato fallace. Al momento l'unico consiglio possibile è quello di usare una password più complessa, soprattutto se ne avete scelto una semplice da ricordare contando sulla "chiavetta". E, come sempre, fare molta attenzione ai possibili attacchi di phising.
Aggiornamento (7/4/2011). In una versione precedente nell'articolo era presente l'immagine della chiavetta usata da Banca Intesa, ora rimossa. L'istituto ha infatti specificato che la loro tecnologia non si basa sui servizi di RSA, e non è quindi stata colpita dal problema descritto.