Confirmación adicional para pagos bancarios en línea

3

Hoy en día, cuando alguien realiza un pago en línea, el banco asociado a menudo requiere un paso de autenticación.

Por lo que sé, hay principalmente dos formas de hacer esto:

  1. Verificación de SMS . El Banco envía un SMS al cliente con un código específico que se debe indicar en la página web de autenticación.
  2. Indique la fecha de nacimiento . En lugar de ingresar un código, la página web de autenticación solo requiere la fecha de nacimiento del cliente.

Parece que la segunda versión es menos segura que la primera, ya que la fecha de nacimiento es una información que se puede encontrar fácilmente por el hecho de que las personas la proporcionan en muchos sitios web.

Entonces, ¿por qué los bancos no solo usan la verificación de SMS en su lugar? ¿Implica algunas complicaciones de protocolo?

    
pregunta Raoul722 07.06.2016 - 09:01
fuente

3 respuestas

2

He estado haciendo pentesting profesional durante bastante tiempo cubriendo a muchos de los bancos que tienen un permiso aquí en Suiza. Tradicionalmente, solo usaban nombre de usuario / contraseña .

Luego cambiaron a TAN (número de autenticación de la transacción) entregados en papel. Solo sé que hay 2 bancos restantes en Suiza que todavía están haciendo esto. Hay dos razones: (1) es barato y (2) algunos usuarios heredados todavía temen la tecnología adicional.

La mayoría de los bancos aplican la autenticación de dos factores a través de otros dispositivos. Las principales soluciones son tarjetas inteligentes , tokens y SMS . Son costosos, todos ellos: los tokens / tarjetas inteligentes requieren una inversión inicial y los SMS deben pagarse por mensaje.

Los clientes que necesitan iniciar sesión y crear transacciones una docena de veces al día no son bienvenidos cuando se trata de SMS. Los bancos suizos tienden a pagar los costos de enviar estos mensajes. Pero algunos de ellos están pensando en dejar que sus clientes paguen por ello o al menos limitar la cantidad de mensajes enviados por día.

Los SMS pueden ser interceptados durante la transmisión o mientras se encuentran en un dispositivo móvil (que también se puede usar para el inicio de sesión bancario). Esta es la razón por la que se prefieren las soluciones separadas físicamente como tokens cuando se trata de soluciones de alta seguridad.

    
respondido por el Marc Ruef 07.06.2016 - 16:01
fuente
4

Nunca he oído hablar de solo usar la fecha de nacimiento para la autenticación. Es una mala idea ya que una fecha de nacimiento no es revocable. Lo que significa que si está "comprometido" no se puede cambiar.

Si es el único medio de autenticación para consultar cuentas o transacciones, es una REALLY BAD IDEA .

Pero eso me lleva a mi segundo punto. En general, no se considera su riesgo, sino el del banco. Si puede probar que su mecanismo de autenticación es un asco y lo defraudan, existe una posibilidad razonable de que el banco tenga que reembolsarle ya que no eran muy diligentes.

Dicho esto, todavía tendrías que pasar por un montón de problemas para resolverlo. Si un banco adopta un enfoque de este tipo y no hay otros controles establecidos, no me quedaría en el banco.

    
respondido por el Lucas Kauffman 07.06.2016 - 09:22
fuente
1

La mayoría de los bancos idealmente usarían múltiples etapas de autenticación. Estos se clasifican en:

  1. Algo que sabes (contraseña)
  2. Algo que tienes (tarjeta / ficha / teléfono)
  3. Algo que eres (biométrico)

Al solicitar un DoB, su banco se restringe a una sola fuente. Teniendo en cuenta que una vez que se conoce una contraseña, es difícil suponer que el atacante no puede encontrar la fecha de nacimiento.

Sin embargo, configurar la infraestructura para el segundo tipo de autenticación puede ser costoso. La mayoría de las empresas sopesarían el riesgo (la cantidad de dinero que se pierde al pagar las pérdidas debidas a transacciones en línea ilegales) con el costo de implementar este sistema. En economías donde no hay presiones legales que presionen para una autenticación más fuerte de los pagos y costos de fraude en línea muy bajos, tiene sentido que los bancos no inviertan en sistemas complicados. El banco también podría estar haciendo esto solo para transacciones de bajo valor o porque las transacciones en línea son pocas en número.

También lea: Schneier predice que 2FA no despegaría porque las ganancias sería despreciable (esto fue en 2005).

    
respondido por el Jedi 07.06.2016 - 10:46
fuente

Lea otras preguntas en las etiquetas