¿Por qué la mayoría de los bancos en el Reino Unido no usan 2FA?

Navega tus respuestas
5

Los bancos comunes del Reino Unido, como Halifax, confían en la banca por Internet, que consiste en un nombre de usuario y contraseña y luego selecciona varios caracteres de una lista desplegable.

¿Por qué esto es más seguro que usar un nombre de usuario, una contraseña y un lector de tarjetas o una aplicación móvil para ingresar una contraseña de un solo uso? El simple hecho de usar un nombre de usuario con 2 contraseñas no parece tan seguro, pero no tengo pruebas de que sea menos seguro que usar una combinación de algo que sabes y algo que tienes.

Parece decepcionante, hay una manera obvia de mejorar la seguridad de manera significativa y relativamente fácil, pero no se ha adoptado.

¿Pensamientos?

    
pregunta SnowyPeaks 27.02.2018 - 09:14
fuente

3 respuestas

2

En algunos casos, utilizan 2FA, pero solo para transacciones de "alto riesgo". Por ejemplo, cuando configuro un nuevo pedido permanente o realizo un pago en una cuenta que no había pagado antes, mi banco requiere que use un código 2FA generado por un lector de tarjetas mini, aunque no requieran un código para que pueda iniciar sesión y ver datos, ni realizar un pago a una cuenta que haya pagado antes.

Este es probablemente un intento de equilibrar la facilidad de uso y la seguridad: hacer que las acciones "comunes" no tengan fricción, al tiempo que dificulta el desvío de fondos a un atacante (a menos que ya haya pagado legítimamente al atacante). Ciertamente podría usarse para incomodar a la gente (un atacante que ingresó a mi cuenta podría enviar todos los fondos allí, por ejemplo, a mi proveedor de electricidad, ya que anteriormente les había hecho pagos, lo que sería una molestia de desentrañar, pero Sería difícil para ellos beneficiarse directamente.

Sin embargo, no es una situación universal: algunos te permiten iniciar sesión con un código generado, otros requieren 2FA para todas las transacciones, otros no lo admiten en absoluto.

    
respondido por el Matthew 27.02.2018 - 10:36
fuente
1

Por conveniencia.

Hay muchas personas realmente incapaces de usar este sistema. Incluso más experiencias tuvieron inicialmente grandes problemas.

El usuario y la contraseña son mucho más fáciles para todos. Toma 2/3 cosas: usuario, pase (y, a veces, control).

La mayoría de los bancos utilizan 2FA actos como este: Tiene una identificación que utiliza para iniciar sesión con (1). Como contraseña, la genera a través del token (2) o el teléfono utilizando su PIN conocido (3). El usas lo que generaste para iniciar sesión (4). En el momento de la transacción, obtiene un código de transacción (5), luego con el utilizado en su token (6) genera un nuevo código de acceso (7) que ingresa en la hoja de transacción (8).

Para las personas que nunca usaron esto antes y no tienen experiencia general en este tema, es casi imposible de usar y toma algo de tiempo acostumbrarse.

Personalmente, tomaré contraseñas en cualquier momento, porque las diseño bien.

    
respondido por el Overmind 27.02.2018 - 10:15
fuente
1

Barclays requiere un código de un lector de tarjetas para iniciar sesión, y un código diferente para pagos a nuevos clientes, por lo que hay bancos con mejor seguridad.

IIRC TSB realiza verificación telefónica para pagos a nuevos destinos.

La segunda contraseña desplegable es para anular los registradores de teclado simples, que de otro modo podrían registrar el nombre de usuario y la contraseña (y posiblemente la URL para activar la captura). Los registradores más efectivos también graban capturas de pantalla. Al solicitar solo 2 caracteres, también evitan que una sola grabación obtenga todas las respuestas.

    
respondido por el Douglas Leeder 27.02.2018 - 12:06
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los pros y los contras de divulgar una vulnerabilidad antes de parchearla? ¿Se puede comprometer mi / boot si suspendo mi notebook?