Strong Authentication , FEA, SPID: la Sicurezza nel Transaction Signing e negli Accessi per Abbattere le Frodi Agostino Ghebbioni Direttore Mercato Servizi Finanziari Indra S.p.A. Antonio Bonsignore CEO ITside Soluzione innovativa per la Strong Authentication da Mobile INDRA ha identificato soluzioni innovative per la gestione dell’Identità Digitale e della strong authentication su apparati Mobile. La partnership con mobysign è il più recente accordo con valenza sia sui mercati finance che PA 2 Barriere per l’utenza e frodi copiare dettagli carta credito ricordarci parecchie password barriere per l’utente e il business credenziali in rete e hackers $114 bn cybercrime > $90 bn cocaina Privacy: ripetiamo a troppi servizi i nostri dati domande personali di identità: dannose Parlamento Europeo 2013: Seal - certificazioni (Norton CyberCrime Report) Gli schemi classici di autenticazione La chiave è l’autenticazione e la nostra identità digitale nel rispetto della privacy La tavoletta grafometrica: il garante della privacy. E … in remoto? One Time Password: - Gartner (VP Avivah Litan, 2010): “SMS/OTP can be fairly easily defeated. Companies that want to protect accounts and information with out-of-band communications must move to transaction signing – not just simple OTP authentication” - CEFRIEL: schemi di attacco all’OTP attuati con successo - Utente: “da usare in mobilità è scomodo per il cambio di contesto sul mobile per leggere il codice o perchè per il mobile banking devo portare il device” La griglia/battaglia navale Si può fare di meglio? Il modello di autenticazione classico prevede informazioni shared tra utente e server Il modello di autenticazione PKI non prevede informazioni shared -una chiave privata in area sicura sul client -una chiave pubblica sul server -firma digitale (PKI) -Recommendations for the Security of Internet Payment (BCE): transaction signing: cioè firma delle transazioni Proprietà della firma digitale la chiave pubblica è associata all’identità dell’utente Per sostituire l’utente occorre conoscere il PIN e disporre della chiave privata. A livello internazionale è il sistema di autenticazione riconosciuto equivalente alla firma autografa, perchè più sicuro Siamo abituati a - sentir parlare di firma digitale solo in ambito documentale - associare la firma digitale con la smartcard di plastica e la CRS/CNS La firma digitale è prima di tutto uno strumento di autenticazione. La abbiamo imbrigliata nello smartphone per consentire l’autenticazione sicura. Soluzione Ricordare solo UN PIN per firmare, loggarsi, pagare Non inviamo in rete il PIN firme digitali: nessuna informazione per gli hacker non c’è necessità di cambiare operatore di telefonia bisogna solo rispondere ai pop-up Privacy: nessun dato sensibile o biometrico Soluzione mobysign è un layer di autenticazione trasformiamo un BB/Android/iPhone in un dispositivo facile e sicuro per login, disposizioni, pagamenti, firma documenti Invito dal Parlamento dell’UE a Febbraio 2013: mobysign incontra i suoi nuovi concept Tecnologia Invece di inviare un gran numero di credenziali, solo una chiave, archiviata in modo segreto nello smartphone, e protetta da un PIN architettura server+client con 2 opzioni: y Silver FEA Gold Firma Elettronica Qualificata Report brevetto positivo per l’Europa (con/senza SIM & con/senza HW) Gli esempi all’estero Sistema Pubblico di Identità digitale (SPID) Autenticazione per home-mobile banking e servizi in rete Un PIN da ricordare Sentiti libero smart login home banking mobile banking Dimenticati delle password Nessun dispositivo OTP da portare con te online > smartphone + PC in mobilità > solo smartphone Firma documenti solo un PIN da ricordare Firma valida legalmente mobile signature contracts Firma elettronica qualificata Nessun dispositivo OTP da portare con te online in mobilità > smartphone + PC > solo smartphone Autenticazione per e-commerce pay safe no risk e-commerce Pagamenti sicuri User experience semplicissima online > smartphone + PC in mobilità > solo smartphone Autenticazione per mobile payment Prendi il tuo cellulare Paga mobile shopping Niente portafogli, niente POS in mobilità: smartphone Questions & Answers Agostino Ghebbioni Direttore Mercato Servizi Finanziari Indra S.p.A. +39 335 8076688 [email protected] Slide 16 ITside Business Plan Powerpoint Deck Antonio Bonsignore CEO ITside +39 3475753685 [email protected]
© Copyright 2024 ExpyDoc
