En un mundo ideal , el PIN nunca tendría que transmitirse al usuario; en su lugar, el usuario lo elegiría.
Experimentalmente, para las tarjetas bancarias, encontré dos métodos:
-
El banco elige el PIN y lo envía como una carta, con algunos trucos de impresión para evitar la lectura del PIN con una lámpara, al abusar de la transparencia del papel.
-
El secretario otorga un PIN temporal, el secretario me lo entrega directamente, y lo cambio inmediatamente a través de un terminal de pago (en el mostrador) o con el cajero automático (que se encuentra en el misma habitación).
Este mundo no es ideal por lo que la situación a menudo obliga a una transmisión remota de un PIN, seleccionada por la organización y enviada al usuario. En ese caso, dado que no hay un canal realmente seguro para comunicarse con el usuario, la idea es separación de canal : el PIN se transmite de una manera distinta de la forma en que se envía la información complementaria. / p>
Los correos electrónicos son notoriamente pobres en seguridad. Por defecto, no están autenticados y pueden viajar como texto sin formato. Se almacenan en el servidor de recepción, con un tiempo de retención incontrolado y, a menudo, con muchas copias de seguridad. Los servidores SMTP a través de los cuales transita el correo electrónico también almacenarán una copia en algún medio de almacenamiento por períodos de tiempo que no son fáciles de medir, y mucho menos configurados. Un correo electrónico es un lugar de almacenamiento realmente malo para un valor secreto.
Los SMS son algo mejores. Cuando pasan por el aire, se encriptan junto con los mecanismos normales de los teléfonos móviles. Cuando el teléfono receptor los ha reconocido, se eliminan de los servidores de distribución: el modelo de SMS se basa en el almacenamiento basado en dispositivos, a diferencia de los correos electrónicos en los que el lugar de descanso habitual de un correo electrónico es el servidor de correo electrónico. Todavía habrá muchas posibilidades de fugas, especialmente cuando el teléfono esté sincronizado con algún sistema de almacenamiento basado en la nube. De hecho, lo mejor que se puede decir acerca de los SMS, en comparación con los correos electrónicos, es que el malware del teléfono todavía es por el momento menos frecuente que el malware de escritorio.
Puede usar una llamada telefónica, con un humano real o un sistema de robot. Una transferencia basada en voz hace que sea menos probable que se retengan copias no deseadas en algún servidor. También es compatible con usuarios que no tienen un teléfono capaz de recibir SMS (sí, todavía hay algunas personas en ese caso).
Los correos en papel no son muy seguros en absoluto, pero interceptar una carta de este tipo requiere presencia física cerca de la casa del destinatario. Dependiendo de su contexto, esto puede ser lo suficientemente distinto de lo que se supone que debe proteger el PIN para lograr una buena seguridad. La mala situación es cuando el PIN es para una tarjeta de crédito, y las tarjetas de crédito y se envían como cartas. Luego, un atacante que puede interceptar el PIN también puede interceptar la tarjeta. En tal situación, es probable que los bancos requieran una activación explícita con una llamada telefónica, donde el usuario será autenticado a través del conocimiento de los "valores secretos" (fecha de nacimiento, apellido de soltera de la madre ... secretos de alta calidad, como pueda). imaginar).
Tenga cuidado de que el modelo de seguridad pueda variar. Los bancos, por ejemplo, no intentan lograr una seguridad perfecta para todos los usuarios; Lo que quieren es ganar dinero . Por lo tanto, se esforzarán por lograr el mejor compromiso, es decir, el método que minimiza los costos generales. Pueden tolerar un poco de fraude, si otros métodos más seguros serían más caros de operar o enajenarían a una proporción no despreciable de clientes potenciales. Se recordará que la seguridad del banco se trata de proteger al banco, no al usuario (independientemente de lo que puedan reclamar en sus anuncios).