Perché le banche non firmano le loro e-mail usando S / MIME?

8

Se l'e-mail inviata dalla mia banca includeva firme S / MIME che il mio client di posta può verificare, allora avrei la certezza che la posta non è stata manomessa o inviata da terze parti malintenzionate. I client di posta più importanti hanno il supporto S / MIME (Outlook, iOS, Thunderbird, Mail.app) quindi perché le firme S / MIME non sono più prevalenti?

    
posta sigjuice 19.02.2016 - 05:25
fonte

2 risposte

10

Di solito è una decisione sui costi e sui benefici.

Costi:

  • Crea la tua infrastruttura CA o acquista un certificato pubblico per ogni mittente
  • Insegna ai dipendenti come usarlo
  • Insegna ai dipendenti come non usarlo, in particolare come assicurarsi che la chiave segreta sia davvero tenuta nascosta
  • Insegna ai clienti cosa significa questa strana roba nella posta
  • Gestisci correttamente la scadenza del certificato, la revoca e tutto questo
  • ...

I vantaggi:

  • Solitamente l'argomentazione va in questo modo: nessun altro lo sta usando, quindi non ci possono essere molti vantaggi

Pertanto, a meno che i benefici non siano superiori ai costi o alcuni regolamenti richiedano l'uso di mail firmate, non verranno implementati.

A parte il fatto che usare correttamente S / MIME non è così semplice anche per il destinatario. Mentre ci possono essere degli indicatori che mostrano se una mail è firmata o meno capiscono come questi indicatori assomigliano, che tipo di indicatori ci sono e che non ci si deve fidare di eventuali indicatori che sono inclusi nella posta stessa e provare a far credere all'utente che tutto sia sicuro: vale a dire qualcosa come i sigilli di fiducia, i messaggi "scannerizzati da qualsiasi antivirus" ecc. Quindi c'è anche il costo di insegnare a tutti gli utenti.

    
risposta data 19.02.2016 - 06:24
fonte
4

La mia banca non invia mai e-mail. Invece, c'è un servizio di messaggistica nella mia interfaccia di banking online che posso usare. Inoltre, è indicato sia sul sito della banca che sul materiale stampato ricevuto per posta che la mia banca non utilizza MAI per le comunicazioni.

Comprendo che questa soluzione fa bene alla banca, perché stanno risparmiando i costi non avendo un'infrastruttura di posta elettronica sicura. Non contattarmi via e-mail mi sembra anche un giusto compromesso tra accessibilità e sicurezza. Se la mia banca decidesse di comunicare con me per posta, la mia prima domanda sarebbe: come puoi dire quale e-mail ho effettivamente scritto e che ti è stata inviata a nome mio con intenti fraudolenti?

Se devo ottenere il mio certificato e in qualche modo convalidarlo con la banca, solo per essere in grado di ottenere i loro messaggi nel mio client di posta elettronica, personalmente preferirei mantenere la soluzione esistente.

    
risposta data 19.02.2016 - 11:39
fonte

Leggi altre domande sui tag