In un mondo ideale , il PIN non dovrebbe mai essere trasmesso all'utente; invece, l'utente lo sceglierebbe.
Sperimentalmente, per le carte bancarie, ho riscontrato due metodi:
-
La banca sceglie il PIN e lo invia come una lettera, con alcuni espedienti per la stampa per evitare di leggere il PIN con una lampada, abusando della trasparenza della carta.
-
Un codice PIN temporaneo viene assegnato dalla banca, dato direttamente a me al banco dall'impiegato, e lo cambio immediatamente tramite un terminale di pagamento (sul bancone) o con l'ATM (che si trova nel stessa stanza).
Questo mondo non è l'ideale , quindi la situazione spesso impone una trasmissione remota di un PIN, selezionata dall'organizzazione, e inviata all'utente. In tal caso, poiché non esiste un canale veramente sicuro per comunicare con l'utente, l'idea è channel separation : il PIN viene trasmesso in un modo che è diverso dal modo in cui vengono inviate le informazioni complementari.
Le e-mail sono notoriamente scarse per la sicurezza. Sono, per impostazione predefinita, non autenticati e possono viaggiare come testo normale. Vengono memorizzati sul server di ricezione, con un tempo di ritenzione incontrollato e spesso con molti backup. I server SMTP attraverso i quali i transiti di posta elettronica memorizzano anche una copia su un supporto di memorizzazione per quantità di tempo non facilmente misurabili, per non dire configurati. Un'e-mail è un luogo di archiviazione davvero brutto per un valore segreto.
Gli SMS sono alquanto migliori. Quando vanno in onda, vengono crittografati insieme ai normali meccanismi del telefono cellulare. Quando sono stati riconosciuti dal telefono ricevente, vengono rimossi dai server di distribuzione: il modello SMS è costruito attorno all'archiviazione basata su dispositivo, contrariamente alle e-mail in cui la normale posizione di riposo di un'e-mail è il server di posta elettronica. C'è ancora molto potenziale di perdita, in particolare quando il telefono viene sincronizzato con un sistema di archiviazione basato su cloud. In effetti, la cosa migliore che si può dire su SMS, se confrontata con le e-mail, è che il malware del telefono è ancora per il momento meno diffuso rispetto ai malware desktop.
Potresti usare una telefonata, con un vero umano o un sistema robot. Un trasferimento basato sulla voce rende meno probabile la conservazione di copie indesiderate su alcuni server. È anche compatibile con gli utenti che non dispongono di un telefono in grado di ricevere SMS (sì, ci sono ancora alcune persone in quel caso).
Le e-mail su supporto cartaceo non sono affatto sicure, ma l'intercettazione di una lettera di questo tipo richiede la presenza fisica vicino all'abitazione del destinatario. A seconda del contesto, questo potrebbe essere abbastanza distinto da qualsiasi cosa il PIN debba proteggere per ottenere una buona sicurezza. La brutta situazione è quando il PIN è per una carta di credito, e la carta di credito e il PIN sono inviati come lettere. Quindi, un attaccante che può intercettare il PIN può anche intercettare la carta. In tale situazione, è probabile che le banche richiedano un'attivazione esplicita con una telefonata, in cui l'utente verrà autenticato attraverso la conoscenza di "valori segreti" (data di nascita, nome da nubile della madre ... segreti di alta qualità, come è possibile immaginare).
Fai attenzione che il modello di sicurezza possa variare. Le banche, per esempio, non cercano di ottenere una sicurezza perfetta per tutti gli utenti; quello che vogliono è fare soldi . Pertanto, si adopereranno per ottenere il miglior compromesso, ovvero il metodo che riduce al minimo i costi complessivi. Possono tollerare un po 'di frode, se altri metodi più sicuri sarebbero più costosi da gestire o alienerebbero una percentuale non trascurabile di potenziali clienti. Va ricordato che la sicurezza della banca riguarda la protezione della banca, non l'utente (indipendentemente da ciò che può rivendicare nei propri annunci).