El banco envía una contraseña de un solo uso por correo electrónico (mientras se envía por SMS) para la verificación de la transacción; ¿Es esto inseguro?

3

La mayoría de los bancos usan OTP (One Time Password) para enriquecer la autenticación a través del factor dual.

Pero observé que los bancos están enviando la OTP al móvil y al correo electrónico.

Supongo que compartir contraseñas en el correo electrónico no es seguro y no es una práctica recomendada por los expertos en seguridad de la información.

A continuación se muestra el correo electrónico de muestra que recibí con el OTP to mobile:

¿Mi OTP no es segura debido a la práctica bancaria? ¿O me estoy perdiendo algo aquí?

    
pregunta Sayan 03.10.2018 - 03:33
fuente

3 respuestas

2

La autenticación multifactor (también conocida como autenticación de dos factores) es más segura que simplemente usar una contraseña de larga duración. La contraseña de un solo uso que se encuentra en su cuenta de correo electrónico será inútil si (1) no tiene la contraseña / clave secreta de la cuenta (u otros factores necesarios para iniciar sesión) o (2) la contraseña de un solo uso se ha usado una vez .

Sí, es un mal consejo enviar contraseñas de larga duración por correo electrónico o SMS (ya que el correo electrónico a menudo se transfiere entre servidores de correo sin cifrar y puede ser escuchado a escondidas, por ejemplo, administradores de sistemas maliciosos, y el correo electrónico generalmente se almacena en su escritorio sin cifrar). Sin embargo, es una práctica común enviar contraseñas de un solo uso que son inútiles por sí solas sin otros factores. De hecho, es demostrablemente más fuerte que no requiere los otros factores. Hay formas potencialmente mejores de realizar la autenticación de múltiples factores que el correo electrónico potencialmente inseguro (por ejemplo, la compañía tokens físicos aunque probablemente no sea factible que cada banco emita tokens físicos separados para cada cliente y espere que la mayoría de los clientes los mantengan seguros y no los pierdan). En pocas palabras, requerir un factor adicional para demostrar la capacidad de leer los mensajes enviados a su dirección de correo electrónico o número de teléfono es más fuerte que no requerirlo (aunque sería una mala idea permitir que alguien con solo acceso a su teléfono o dirección de correo electrónico lo haga fácilmente). obtener el control total de su cuenta bancaria).

    
respondido por el dr jimbob 03.10.2018 - 17:52
fuente
1

Sí, tienes razón, el método de entrega no es seguro. La OTP es excelente como un ejecutor de contraseña estática. Al igual que en TFA. y lo que más me preocupa es que no hay tiempo de expiración para esa OTP ... tal vez no tenga acceso total para cambiar o modificar la configuración personal. Creo que necesitas investigar más sobre la seguridad de tu banco.

    
respondido por el user188040 03.10.2018 - 17:31
fuente
0

Agregando a @Sefa comentario:

Un atacante tendría que interceptar la OTP cuando se la envíen. Posibilidades que se me ocurren:

  • intercepción del SMS si no está encriptado (consulte enlace )
  • Intercambio de SIM (vea enlace )
  • intercepción del correo electrónico (si no está cifrado)
  • compromiso de su cuenta de correo electrónico (por ejemplo, credenciales robadas o violación de datos)

El atacante podría usar uno de estos métodos mientras tiene acceso a las credenciales de su cuenta bancaria.

El token OTP se considera más seguro si no se le envía a usted, sino que lo genera un dispositivo en su poder (por ejemplo, una aplicación de autenticador como Google Authenticator o la clave de seguridad FIDO U2F como YubiKey)

    
respondido por el Theophany 03.10.2018 - 17:04
fuente

Lea otras preguntas en las etiquetas