Entrega de pin: ¿SMS, correo o pin mailer?

En un mundo ideal , el PIN nunca tendría que transmitirse al usuario; en su lugar, el usuario lo elegiría.

Experimentalmente, para las tarjetas bancarias, encontré dos métodos:

1. El banco elige el PIN y lo envía como una carta, con algunos trucos de impresión para evitar la lectura del PIN con una lámpara, al abusar de la transparencia del papel.

2. El secretario otorga un PIN temporal, el secretario me lo entrega directamente, y lo cambio inmediatamente a través de un terminal de pago (en el mostrador) o con el cajero automático (que se encuentra en el misma habitación).

Este mundo no es ideal por lo que la situación a menudo obliga a una transmisión remota de un PIN, seleccionada por la organización y enviada al usuario. En ese caso, dado que no hay un canal realmente seguro para comunicarse con el usuario, la idea es separación de canal : el PIN se transmite de una manera distinta de la forma en que se envía la información complementaria. / p>

Los correos electrónicos son notoriamente pobres en seguridad. Por defecto, no están autenticados y pueden viajar como texto sin formato. Se almacenan en el servidor de recepción, con un tiempo de retención incontrolado y, a menudo, con muchas copias de seguridad. Los servidores SMTP a través de los cuales transita el correo electrónico también almacenarán una copia en algún medio de almacenamiento por períodos de tiempo que no son fáciles de medir, y mucho menos configurados. Un correo electrónico es un lugar de almacenamiento realmente malo para un valor secreto.

Los SMS son algo mejores. Cuando pasan por el aire, se encriptan junto con los mecanismos normales de los teléfonos móviles. Cuando el teléfono receptor los ha reconocido, se eliminan de los servidores de distribución: el modelo de SMS se basa en el almacenamiento basado en dispositivos, a diferencia de los correos electrónicos en los que el lugar de descanso habitual de un correo electrónico es el servidor de correo electrónico. Todavía habrá muchas posibilidades de fugas, especialmente cuando el teléfono esté sincronizado con algún sistema de almacenamiento basado en la nube. De hecho, lo mejor que se puede decir acerca de los SMS, en comparación con los correos electrónicos, es que el malware del teléfono todavía es por el momento menos frecuente que el malware de escritorio.

Puede usar una llamada telefónica, con un humano real o un sistema de robot. Una transferencia basada en voz hace que sea menos probable que se retengan copias no deseadas en algún servidor. También es compatible con usuarios que no tienen un teléfono capaz de recibir SMS (sí, todavía hay algunas personas en ese caso).

Los correos en papel no son muy seguros en absoluto, pero interceptar una carta de este tipo requiere presencia física cerca de la casa del destinatario. Dependiendo de su contexto, esto puede ser lo suficientemente distinto de lo que se supone que debe proteger el PIN para lograr una buena seguridad. La mala situación es cuando el PIN es para una tarjeta de crédito, y las tarjetas de crédito y se envían como cartas. Luego, un atacante que puede interceptar el PIN también puede interceptar la tarjeta. En tal situación, es probable que los bancos requieran una activación explícita con una llamada telefónica, donde el usuario será autenticado a través del conocimiento de los "valores secretos" (fecha de nacimiento, apellido de soltera de la madre ... secretos de alta calidad, como pueda). imaginar).

Tenga cuidado de que el modelo de seguridad pueda variar. Los bancos, por ejemplo, no intentan lograr una seguridad perfecta para todos los usuarios; Lo que quieren es ganar dinero . Por lo tanto, se esforzarán por lograr el mejor compromiso, es decir, el método que minimiza los costos generales. Pueden tolerar un poco de fraude, si otros métodos más seguros serían más caros de operar o enajenarían a una proporción no despreciable de clientes potenciales. Se recordará que la seguridad del banco se trata de proteger al banco, no al usuario (independientemente de lo que puedan reclamar en sus anuncios).

Los humanos no son capaces de generar números aleatorios. El PIN generado por el hombre es predecible . Si usa PC para generar el PIN, también será predecible. Por esta razón, las soluciones de emisión de tarjetas se basan en dispositivos HSM especiales capaces de generar números aleatorios reales. Tales dispositivos son requeridos por el reglamento PCI. Esta es una de las razones por las que el PIN debe ser entregado, no configurado (sin embargo, esto puede abrir una discusión completamente nueva). Sin embargo, tienes razón, el programa de correo de PIN no es seguro. La pregunta principal es si es más seguro que otra cosa. Bueno ... depende de qué.

Cada canal de entrega de PIN que mencionó tiene sus propias vulnerabilidades. El riesgo de SMS se relaciona principalmente con la baja seguridad de la comunicación entre el banco y el proveedor de SMS (en su mayoría dentro del propio proveedor, no hablando sobre el túnel IPsec) y depende en gran medida y varía entre los diferentes proveedores. El uso de agregadores de SMS para enviar un PIN de texto claro es probablemente lo peor que puede hacer. Otra parte del riesgo de SMS está relacionada con los teléfonos inteligentes (es decir, Android) en los que las aplicaciones que no son de confianza pueden acceder a los mensajes SMS . Por lo tanto, enviar SMS confidenciales a un teléfono Android es una mala idea. El uso de Internet como canal de distribución le permite utilizar un mejor cifrado de extremo a extremo, por lo que esta vulnerabilidad es menor. Sin embargo, debido a que Internet es una red muy abierta, hay muchas otras vulnerabilidades, como la presencia de personas en el medio, basada en el servidor proxy entre el cliente y el servidor. Y una cosa más, si se diseñan correctamente, los sistemas de producción de tarjetas no pueden descifrar el PIN , por lo que no puede leerlo. Y al final, el titular de la tarjeta debe protegerlo de la mejor manera que pueda;)