¿Qué tan segura es una aplicación de autenticación de banca electrónica que requiere una tarjeta NFC más un pin para autenticar al usuario?

Navega tus respuestas
1

Actualmente, muchos bancos ofrecen servicios bancarios en línea (en un navegador web). Para aumentar la seguridad, la mayoría de los bancos requieren un inicio de sesión estándar con un nombre de usuario (número de cuenta) y contraseña, más un código que se envía a su teléfono móvil para autenticar el inicio de sesión y / o cualquier transacción con dos factores.

Estoy pensando en cambiarme a un banco que usa un esquema diferente: para iniciar sesión en línea (digamos desde la computadora de su casa), solo se requiere su número de cuenta (no se necesita contraseña). El banco proporciona un desafío (unos pocos dígitos), que luego debe ingresar en una aplicación de teléfono móvil dedicada. Para aumentar la seguridad, la aplicación requiere que sujete una tarjeta física (con un chip) en su teléfono (que supongo que usará NFC) y que "desbloquee" la tarjeta con un pin (que solo usted conoce), que usted escribe en tu telefono Si el pin es correcto (coincide con el pin de la tarjeta), el teléfono combinará los dígitos del desafío en un código de acceso, que luego ingresará en su navegador web. Esto le da acceso a la plataforma de banca en línea. Se utiliza el mismo procedimiento cuando se intenta emitir una transacción.

Encontré un comunicado de prensa de cuando esta tecnología se desarrolló aquí . Sin embargo, el artículo no dice mucho sobre la seguridad.

Me pregunto qué tan seguro es esto. Supongamos que tenemos un atacante que pudo comprometer completamente mi teléfono al nivel de la raíz (algunas vulnerabilidades aparecen de vez en cuando que lo permiten, por lo que no es desconocido). Entonces, asumimos que el atacante puede interceptar todo lo que escribo en el teléfono y puede monitorear todo lo que hace cada aplicación en el teléfono (incluidos los accesos a la memoria). Además, asumiremos que el atacante conoce el número de cuenta bancaria y a quién pertenece, pero que no tiene acceso físico a la tarjeta o al chip que contiene.

Si ahora utilizo esta aplicación y activé la NFC de la tarjeta y tecleé el pin, ¿el atacante podría copiar todo lo que necesita de la tarjeta al teléfono, lo que le permitirá autenticarse (en el futuro sin la tarjeta)? y obtener acceso completo a mi cuenta bancaria?

¿O me equivoco al preocuparme y la lectura de la tarjeta cambia su estado de manera impredecible para el dispositivo de lectura, asegurando que incluso si me autentifico varias veces en un teléfono comprometido, el atacante todavía necesitaría acceso físico? ¿A la tarjeta antes de que pueda hacer daño?

    
pregunta Mark Anderson 19.07.2017 - 16:22
fuente

1 respuesta

0

Por lo general, las tarjetas NFC, al igual que con los pagos con tarjeta EMV, utilizan encriptación asimétrica para un desafío y respuesta de autenticación, y la tarjeta tiene una clave privada única que nunca se envía a ningún lado. Suponiendo que así es como funciona en su situación, y el banco no autoriza todos los teléfonos cuando solo uno proporciona la respuesta correcta, debería estar bien. Para ilustrar:

El atacante roba su teléfono y no la tarjeta nfc. Luego obtienes un nuevo teléfono e instales la misma aplicación. Digamos que en el peor de los casos, el código que el banco envía es a su correo electrónico y el atacante tiene acceso a su correo electrónico. Con tu nuevo teléfono solicitas un login. El atacante ve el correo electrónico e intenta iniciar sesión. El banco luego solicita a ambos dispositivos que utilicen la tarjeta NFC para responder a un desafío. Tienes éxito y el atacante no. El banco autoriza solo su sesión en su teléfono.

Esto debería ser seguro siempre que el banco claramente mantenga sus sesiones correctamente. Y suponiendo que la tarjeta NFC de hecho use un esquema seguro para generar y cargar claves privadas, la tarjeta nfc no se puede duplicar (aparte de obtener acceso físico y disimular los IC, o realizar un DPA exitoso que creo que es poco probable en una NFC chip porque interferencia EM).

Personalmente usaría este esquema. ¡Acepto que mantengo mis tarjetas y mi teléfono celular juntos!

    
respondido por el noone392 19.07.2017 - 22:19
fuente

Lea otras preguntas en las etiquetas

¿Existe alguna calificación financiera de las plataformas de negociación electrónica? ¿Cómo puede la búsqueda de Google cambiar la ubicación en una información sobre herramientas de URL?