Confirmación adicional para pagos bancarios en línea

He estado haciendo pentesting profesional durante bastante tiempo cubriendo a muchos de los bancos que tienen un permiso aquí en Suiza. Tradicionalmente, solo usaban nombre de usuario / contraseña .

Luego cambiaron a TAN (número de autenticación de la transacción) entregados en papel. Solo sé que hay 2 bancos restantes en Suiza que todavía están haciendo esto. Hay dos razones: (1) es barato y (2) algunos usuarios heredados todavía temen la tecnología adicional.

La mayoría de los bancos aplican la autenticación de dos factores a través de otros dispositivos. Las principales soluciones son tarjetas inteligentes , tokens y SMS . Son costosos, todos ellos: los tokens / tarjetas inteligentes requieren una inversión inicial y los SMS deben pagarse por mensaje.

Los clientes que necesitan iniciar sesión y crear transacciones una docena de veces al día no son bienvenidos cuando se trata de SMS. Los bancos suizos tienden a pagar los costos de enviar estos mensajes. Pero algunos de ellos están pensando en dejar que sus clientes paguen por ello o al menos limitar la cantidad de mensajes enviados por día.

Los SMS pueden ser interceptados durante la transmisión o mientras se encuentran en un dispositivo móvil (que también se puede usar para el inicio de sesión bancario). Esta es la razón por la que se prefieren las soluciones separadas físicamente como tokens cuando se trata de soluciones de alta seguridad.

Nunca he oído hablar de solo usar la fecha de nacimiento para la autenticación. Es una mala idea ya que una fecha de nacimiento no es revocable. Lo que significa que si está "comprometido" no se puede cambiar.

Si es el único medio de autenticación para consultar cuentas o transacciones, es una REALLY BAD IDEA .

Pero eso me lleva a mi segundo punto. En general, no se considera su riesgo, sino el del banco. Si puede probar que su mecanismo de autenticación es un asco y lo defraudan, existe una posibilidad razonable de que el banco tenga que reembolsarle ya que no eran muy diligentes.

Dicho esto, todavía tendrías que pasar por un montón de problemas para resolverlo. Si un banco adopta un enfoque de este tipo y no hay otros controles establecidos, no me quedaría en el banco.

La mayoría de los bancos idealmente usarían múltiples etapas de autenticación. Estos se clasifican en:

1. Algo que sabes (contraseña)
2. Algo que tienes (tarjeta / ficha / teléfono)
3. Algo que eres (biométrico)

Al solicitar un DoB, su banco se restringe a una sola fuente. Teniendo en cuenta que una vez que se conoce una contraseña, es difícil suponer que el atacante no puede encontrar la fecha de nacimiento.

Sin embargo, configurar la infraestructura para el segundo tipo de autenticación puede ser costoso. La mayoría de las empresas sopesarían el riesgo (la cantidad de dinero que se pierde al pagar las pérdidas debidas a transacciones en línea ilegales) con el costo de implementar este sistema. En economías donde no hay presiones legales que presionen para una autenticación más fuerte de los pagos y costos de fraude en línea muy bajos, tiene sentido que los bancos no inviertan en sistemas complicados. El banco también podría estar haciendo esto solo para transacciones de bajo valor o porque las transacciones en línea son pocas en número.

También lea: Schneier predice que 2FA no despegaría porque las ganancias sería despreciable (esto fue en 2005).