seguridad en la aplicación bancaria con código pin de 4 dígitos y número de seguridad social

Navega tus respuestas
1

La nueva aplicación bancaria (para el banco noruego Gjensidige bank) para mi teléfono con Android me permite iniciar sesión usando solo mi número de seguridad social y un código pin de 4 dígitos. El número de seguridad social en Noruega no es un número secreto (aunque la gente generalmente no lo publica en línea). El teléfono está registrado en el banco de Internet, para permitir la aplicación para cada teléfono en particular.

No entiendo cómo esto puede ser un enfoque seguro? ¿Qué pasó con la autenticación de dos factores?

Incluso he visto otra aplicación bancaria (para skandiabanken, enlace (traducido del noruego) en IOS que permite iniciar sesión usando solo un código PIN de 4 dígitos (mi padre preguntó Si esto era seguro, pero lo desanimé de instalarlo).

¿Cómo puede ser más seguro iniciar sesión desde un teléfono celular o un ipad que desde una computadora? Parece que hay algún aspecto de esto que no entiendo, ¿puede alguien iluminarme? (Espero que esté en el tema aquí ...)

Añadiendo información de los comentarios: El teléfono / dispositivo se tenía que registrar mediante el registro digital en el banco en línea. No necesitaba proporcionar ninguna información sobre el teléfono, pero la aplicación debía activarse con un código de 8 dígitos después del registro en el banco en línea.

Mi problema es que todavía no puedo ver la diferencia principal de usar una aplicación desde un teléfono o un ipad, y usar un applet (que es lo que se usa para la autenticación de dos factores en Noruega) desde una computadora portátil.

¿La autenticación de dos factores solo es necesaria si el banco no sabe de dónde proviene la solicitud? Entonces, si pudiera registrar previamente mi computadora portátil en el banco, y en el proceso de guardar un certificado en la computadora portátil, ¿estaría bien usar solo un código de 4 dígitos para iniciar sesión en el banco desde la computadora portátil? Esto se parece mucho al proceso de inicio de sesión en mi primer banco en línea (solo necesitaba una contraseña real, no era suficiente con un pin de 4 dígitos).

    
pregunta jonasfh 28.07.2014 - 23:20
fuente

1 respuesta

3

Según lo que describe, el proceso puede ser el siguiente:

  • Durante el registro del dispositivo, la aplicación en el dispositivo (ya sea un teléfono o una computadora portátil) genera algún valor secreto y lo envía al banco; también lo almacena. Este "secreto" puede ser una clave secreta, o un par de claves privada / pública: no importa mucho aquí. El punto es que el banco ahora puede reconocer el dispositivo como el dispositivo.

  • El "código de registro" es una contraseña de un solo uso que usas para declarar al banco: "este es mi dispositivo, recuérdalo".

  • Cuando inicia sesión, el dispositivo se conecta al banco y utiliza su valor secreto almacenado para autenticarse con el banco.

  • El código PIN se envía al banco para su verificación. El dispositivo no almacena el código PIN ni nada que le permita verificar ese código. El banco aplica una política de bloqueo automático, como lo hacen las tarjetas inteligentes (después de 3 códigos PIN incorrectos, el banco se niega a seguir hablando).

  • Suponemos que el código de la aplicación es seguro (no modificado por los atacantes); las comunicaciones utilizan SSL, de modo que siempre se garantiza que el código de la aplicación se comunique con el servidor bancario original, y los datos se pueden intercambiar de forma segura.

De hecho, esto incluye autenticación de dos factores : para iniciar sesión correctamente, debe usar el dispositivo registrado (" algo que tiene ") y ingrese el código PIN correcto (" algo que sabe "). Si un atacante roba su teléfono, puede iniciar la conexión (el banco reconoce su teléfono) pero será bloqueado cuando se trata del PIN. Por el contrario, si un atacante aprende su código PIN pero no puede tomar su teléfono, no podrá enviar el código PIN al banco para su verificación (el banco aceptará considerar un código PIN solo si proviene de un dispositivo debidamente autenticado) .

El uso del número de seguridad social es principalmente para el programa: hace que el proceso parezca "más seguro". Pero mejora las cosas solo en la medida en que el atacante no conoce ese número. Como se puede observar, los números de seguridad social no son realmente secretos. Pueden ralentizar a un atacante informal, no muy competente (por ejemplo, el tipo que robó su teléfono y corrió hacia él, y está tratando de ver si puede "tener suerte" y saquear sus cuentas bancarias también).

Ahora, la parte difícil : ¿por qué tal esquema con un teléfono (o tableta) sería "más seguro" que el mecanismo equivalente con una computadora? Y la respuesta es: conceptualmente, no es más seguro. Sin embargo, existe una idea generalizada de que los programas maliciosos, como los keyloggers, son menos frecuentes en el mundo de los teléfonos inteligentes que en las computadoras de propósito general. En ese sentido, el banco considera que su computadora portátil es menos confiable que su teléfono. Esto se relaciona con la última propiedad que mencioné anteriormente: el protocolo funciona solo mientras el código de la aplicación no se modifique y se ejecute en un hardware que no esté bajo control hostil.

    
respondido por el Tom Leek 29.07.2014 - 16:53
fuente

Lea otras preguntas en las etiquetas

Autenticación automática segura para compartir samba Deshacerse de los troyanos en Windows XP: el kit de herramientas básico