Seguridad de autenticación de dos factores de banca en línea [cerrado]

Navega tus respuestas
2

Veamos más de cerca si los números de autenticación de transacción (TAN), tales como: mTAN, chipTAN y pushTAN cumplen con los requisitos de un método seguro de autenticación de dos factores.

descripción de cada uno de ellos:

  1. mTAN: El número de autenticación se envía al teléfono del cliente a través de SMS.
  2. chipTAN: el cliente posee un dispositivo especial donde ingresa su tarjeta bancaria, escanea un código de barras del sitio web del banco y se muestra un número de autenticación recién generado en la pequeña pantalla del dispositivo.
  3. pushTAN: El número lo recibe una aplicación especial y separada en el teléfono del cliente que no es la aplicación bancaria.

Estoy interesado tanto en la banca móvil de aplicaciones como en la banca web del portal bancario.

Aquí están mis pensamientos sobre ellos.

a) Aplicación móvil.

mTAN: en este caso, el atacante que no sea el nombre de usuario / contraseña solo necesita tener acceso solo al teléfono móvil de la víctima para lograr su objetivo. Así que la autenticación del segundo factor realmente no agrega mucha seguridad. En general, ¿no es tan seguro?

chipTAN: en este caso, excepto el usuario / contraseña, el atacante debe tener físicamente el teléfono móvil, el dispositivo generador de bronceado y la tarjeta bancaria de la víctima para el éxito, lo que agrega básicamente tres niveles de seguridad más. Entonces, ¿creo que este califica como un método seguro?

pushTAN: aquí, nuevamente, el atacante debe tener acceso al teléfono de la víctima, ya que la aplicación separada también se instala en el mismo teléfono inteligente. Entonces, ¿esto es similar (no) seguro como el MTAN?

b) Portal web del banco:

mTAN: esto es básicamente lo mismo que la versión de la aplicación móvil de mTAN.

chipTAN: en este caso, el atacante no necesita tener acceso al teléfono móvil, solo el nombre de usuario / contraseña, el dispositivo generador de tan y la tarjeta bancaria. Este parece todavía seguro para mí.

pushTAN: no estoy seguro de cómo conectar pushTAN y la banca móvil basada en el portal web, pero el atacante tendría que tener el nombre de usuario / contraseña y también el acceso al teléfono móvil.

Básicamente, mi 'tarea' es establecer si los métodos de autenticación de dos factores mencionados anteriormente son seguros y, si no, describir el ataque.

Por favor, corríjame si he dicho algo incorrecto y le agradecería que me sugiriera algunos ataques que puedan tener éxito contra esos métodos.

    
pregunta Leonardo 17.11.2016 - 12:17
fuente

1 respuesta

3

Me suena un poco a la tarea (?)

  

¿Es segura la autenticación de dos factores mTAN?

No obtiene seguridad al utilizar una única tecnología o dispositivo. La pregunta debería extenderse: ¿Garantiza la autenticación en tales y tales condiciones, con los atacantes que tienen tantos recursos disponibles? La seguridad es una propiedad (relativa) de los sistemas, no de componentes individuales. Además, la autenticación es principalmente un medio para obtener seguridad.

Podría preguntar "mTAN cumple su propósito", y la respuesta sería sí, ya que se supone que la autenticación de dos factores hace que sea necesario proporcionar dos cosas (en este caso, algo que sabe y algo que tiene) para autenticar usted mismo en lugar de solo uno (generalmente una contraseña, por ejemplo, algo que sabe).

La autenticación de dos factores cierra algunos lugares de ataque, pero su propósito no es hacer que todos los ataques fallen. Es solo para subir la barra.

Siempre puedes encontrar ataques contra esquemas de autenticación. Imagine que instala la mejor cerradura diseñada en la puerta de su apartamento y refuerce todas las ventanas y paredes. ¿Es esto seguro? No contra alguien dispuesto a robar tu llave. ¿Sería mejor proporcionar su huella digital? (algo que eres) Bueno, eso puede ser derrotado de varias maneras, la más brutal se ve así: tu contraseña se tortura y te cortan el pulgar en el proceso. Bang, la autenticación de dos factores falló. También puede fallar con menos fuegos artificiales: un juez puede obligarte a renunciar a ambos factores, o ser engañado para que proporcione ambos factores a través de la ingeniería social, y así sucesivamente.

Así que olvídate de que un método de autenticación sea seguro en sí mismo. Pregunte cuánto esfuerzo es eludirlo o romperlo. Sus tres esquemas de TAN variarán en función de cuáles sean los ataques más factibles, más baratos, menos costosos, etc.

    
respondido por el Pascal 17.11.2016 - 13:11
fuente

Lea otras preguntas en las etiquetas

¿Debo informar la dirección IP de la que proviene un ataque? Es así, ¿a quién? ¿Cuál es el bit al final de un archivo de firma PGP?