Nuestro banco solía emitir tarjetas de códigos, con 72 contraseñas impresas en ellas. Para iniciar sesión en net bank, solíamos saber:
- Nuestro número de cuenta bancaria (tenemos eso escrito)
- Una contraseña que hemos elegido. Se suponía que no debíamos decírselo a nadie ni escribirlo
- Un código aleatorio (especificado durante el inicio de sesión) de la tarjeta de código.
Para confirmar una transacción, solíamos escribir otra contraseña.
Las tarjetas de código se eliminaron gradualmente por ser inseguras y, en lugar de ellas, la aplicación Smart-ID se promovió para autenticar.
Si usamos Smart-ID para iniciar sesión, ahora tenemos que:
- Escriba / copie nuestro número de cuenta bancaria
- Ingrese el PIN 1 (el código de 4 dígitos, generado al azar en la creación de la cuenta, se puede cambiar) en nuestra aplicación Smart-ID para autenticar
Para autenticar una transacción, necesitamos ingresar el PIN 2 (código de 5 dígitos).
El enlace a la descripción de la aplicación sería relevante.
enlace
En lo que a mí respecta, para el atacante obtener acceso a una cuenta bancaria una vez es suficiente. Se toma todo el dinero, el usuario va al banco para cambiar cualquier configuración de seguridad que tenga, independientemente de si se trata de una tarjeta de código o de un PIN de identificación inteligente. En mis ojos, lo que ha cambiado:
- El atacante debe aprender dos contraseñas muy cortas de solo dígitos, en lugar de un usuario generado por una
- El atacante necesita obtener acceso físico al teléfono con la aplicación en lugar de la tarjeta de código.
Entonces, la pregunta es: ¿de qué manera el uso de una aplicación para autenticar mejora la seguridad en comparación con el uso de una tarjeta de código?