¿Por qué mi banco usa este método de verificación?

2

Mantengo mi cuenta comercial con Lloyds TSB [Reino Unido] y el proceso para iniciar sesión en sus servicios bancarios en línea es el siguiente:

  1. página de inicio de sesión
  2. Ingrese el número de cliente
  3. Introduzca la contraseña
  4. Coloque la tarjeta de débito en su lector de tarjetas
  5. Introduzca el PIN para la tarjeta de débito y presione 'identificar'
  6. Ingrese el código de 8 dígitos generado para completar el inicio de sesión

Después de tres intentos erróneos, la cuenta se bloquea hasta que envían una carta con información de desbloqueo.

Entiendo que los bancos tienen que ser muy seguros, pero ¿sería más seguro (y más sencillo y económico) tener dos contraseñas [largas] de las que solicita ciertos caracteres?

Editar: Además. Este dispositivo lector de tarjetas es solo un lector económico, ligero y de estilo calculador. No veo cómo podría conectarse a Internet para su verificación, lo que significa que puede determinar si el PIN de las tarjetas insertadas es correcto o no. ¿Seguramente el software del lector podría ser explotado para obtener el PIN de una tarjeta?

    
pregunta Anonymous 30.05.2012 - 14:40
fuente

4 respuestas

9
  
  1. página de inicio de sesión
  2.   
  3. Ingrese el número de cliente
  4.   
  5. Introduzca la contraseña
  6.   

Hasta ahora, esto es a lo que estás acostumbrado: nombre de usuario & contraseña.

  
  1. Coloque la tarjeta de débito en su lector de tarjetas
  2.   
  3. Introduzca el PIN para la tarjeta de débito y presione 'identificar'
  4.   
  5. Ingrese el código de 8 dígitos generado para completar el inicio de sesión
  6.   

Este es un segundo factor. El algoritmo para generar este número es compartido por el banco y su tarjeta. El secreto se guarda en el banco y también en su tarjeta. La computadora usa la hora actual como una semilla (supongo que está conectada). De esto, incluso si uno compromete su máquina y busca su contraseña, no pueden usarla sin la tarjeta de hardware. El dispositivo de hardware no reporta el número a la computadora, por lo que no se puede llamar automáticamente si deja la tarjeta en el sistema.

Sería menos seguro usar dos contraseñas y elegir caracteres aleatorios. El banco al que me refiero al hablar de lo que constituye seguridad de dos factores utilizó un método como este: varias contraseñas que no eran No se utilizan todos al mismo tiempo. Un atacante supervisó la computadora del cliente durante un período de tiempo y caminó con mucho dinero.

A partir de esto, perder su tarjeta no compromete su cuenta. Alguien tiene que recoger físicamente tu tarjeta, por lo que un ataque no puede ser completamente remoto. Alguien no puede retirar su tarjeta de la calle y acceder a su cuenta. Todavía necesitan un número de cuenta y la contraseña. A menos que pierda su tarjeta con su número de cuenta y contraseña escrita (para ser sencillo, consideramos que este es el problema de crear un mejor idiota ), sus probabilidades de compromiso son mucho menores que con solo un par de contraseñas.

    
respondido por el Jeff Ferland 30.05.2012 - 15:08
fuente
5

Esto se llama autenticación de dos factores. Al hacer que se autentique de dos maneras muy diferentes, la seguridad aumenta, porque un atacante ahora tiene que romper ambos métodos.

Los dos factores aquí son "algo que sabes" que es la contraseña y "algo que tienes" que es la tarjeta de débito.

Como resultado, si un atacante se apodera de su tarjeta de alguna manera, entonces no puede acceder a su banca en línea, ya que también necesitan su contraseña. O, si descubren su contraseña, no es suficiente, porque también necesitan la tarjeta.

No estoy diciendo que el factor doble te haga invulnerable, y además hay varios quejas sobre cómo se ha implementado este sistema específico, conocido como Chip Authentication Program o Dynamic Passcode Authentication, pero hace que sea más difícil para el atacante, y eso es algo bueno.

En respuesta a su último punto, el PIN no se verifica contra el banco, sino contra su propia tarjeta de débito.

    
respondido por el Graham Hill 30.05.2012 - 17:06
fuente
2

Esta es la primera vez que veo un sistema como este (soy de Estados Unidos) y es muy superior a lo que se nos ofrece. Obtenemos lo que sabes (contraseña) + algo que sabes (verificación de imagen) + algo que sabes (pregunta secreta). Su banco realmente proporciona autenticación de 2 factores. Porque obtienes algo que sabes (pin, contraseña, etc.) + algo que tienes (tarjeta de débito). Si bien es más sencillo y "más barato" implementar la autenticación de un solo factor que tienen los bancos con los que me relaciono, termina perdiendo algo cuando puede iniciar sesión en la cuenta de alguien porque sabe las mismas cosas que ellos saben. Hasta el punto de la rentabilidad, depende de cuánto cuesta el sistema del lector de tarjetas en comparación con el costo promedio de robo / fraude. Mi conjetura es el robo / fraude > costo del lector de tarjetas.

    
respondido por el Woot4Moo 30.05.2012 - 14:45
fuente
1

Primero: las contraseñas se pueden olvidar, tener 2 contraseñas diferentes con requisitos muy estrictos puede causar problemas con los clientes que olvidan sus contraseñas. Las contraseñas también se pueden adivinar mediante ataques de fuerza bruta o diccionario, si se les da suficiente tiempo.

El lector de tarjetas proporciona una autenticación de dos factores. Al escanear su tarjeta e ingresar el PIN, probablemente generará una contraseña de un solo uso que no se puede adivinar fácilmente sin conocer el algoritmo detrás de su generación.

Esto garantiza que su cuenta no pueda ser forzada con fuerza bruta sin que usted pierda la posesión de la tarjeta física.

enlace

Esta entrada de wikipedia proporciona una explicación sobre las razones detrás de la implementación de un sistema de contraseña de un solo uso.

    
respondido por el Ayrx 30.05.2012 - 14:45
fuente

Lea otras preguntas en las etiquetas