Almeno, queste sono le conclusioni di Techworld. Peccato. O forse no: un altro tentativo di risolvere un problema di processo con un prodotto è fallito. Il problema di processo è dato dal fatto che i siti ai quali gli utenti accedono (siti di home banking, commercio elettronico ecc.) usano dei meccanismi di autenticazione che espongono le credenziali dell’utente al phishing, e non se ne curano. L’utente non deve pensare che sia colpa sua o della tecnologia: è colpa di chi gestisce il sito. Un esempio? Una grossa banca fornisce ai propri utenti un certificato personale, e tutte le operazioni sono effettuate via https autenticato lato client; un’altra propone chiavi usb. In queste condizioni, le abituali tecniche di phishing non possono avere successo, perché anche riuscendo ad ottenere la password, non riescono ad ottenere il certificato. Per contro, alcune banche non permettono nemmeno di avere una connessione interamente https: l’https è solo in una finestra di una pagina http, e questo contro il phishing è totalmente inutile. Perché queste differenze? Motivazioni tipiche: perché il sito in https è troppo pesante (leggi: costoso); ma allora, come mai alcune banche se lo possono permettere? Seconda motivazione: perché l’installazione del certificato (o di altri strumenti) da parte dell’utente è troppo complicata… ma allora perché i clienti degli altri ci riescono? Non solo: per il cliente è molto più difficile seguire strane indicazioni su cautele per evitare il phishing… il fatto è che se queste cautele non vengono prese, la “colpa” è del cliente, che per la banca è molto più comodo.
Gli utenti dovrebbero essere aiutati a riconoscere queste differenze fra i fornitori di servizi su Internet, e dovrebbero premiare quelli che curano realmente la sicurezza, abbandonando quelli che li prendono in giro.
