¿Es factible la identificación con tarjetas bancarias NFC?

0

Imagina que quiero identificar a los usuarios de forma más segura que utilizando un nombre de usuario / contraseña, por ejemplo. un token de hardware. Sin embargo, no puedo emitirles tarjetas inteligentes. ¿Es una buena idea tratar de usar tarjetas bancarias habilitadas para NFC para ese propósito, por ejemplo? con el siguiente flujo (nota: esto no realiza ninguna transacción, ya que no va a ninguna puerta de enlace del emisor de la tarjeta):

  1. Se supone que el usuario tiene instalada una aplicación de teléfono inteligente específica
  2. solicitudes de usuario para iniciar sesión en un sitio web
  3. Se le pide al usuario que presente la tarjeta sin contacto al teléfono con la aplicación abierta (o la aplicación se abre automáticamente en contacto con NFC)
  4. El usuario presenta la tarjeta y se le solicita un PIN, que escribe en la aplicación
  5. La aplicación ha obtenido un desafío único del servidor, que envía a la tarjeta
  6. La tarjeta firma el desafío
  7. El desafío firmado y un número de tarjeta de crédito transformado (por ejemplo, utilizando bcrypt) se envían al servidor
  8. El servidor hace coincidir el número transformado (que sirve como identificador) con el usuario que solicitó el inicio de sesión desde un navegador, verifica el desafío firmado con la clave pública de la tarjeta y permite al usuario ingresar.

Si eso no suena demasiado absurdo, algunas preguntas de seguimiento:

  1. ¿Es el tamaño de la clave de las tarjetas bancarias lo suficientemente grande?
  2. ¿El protocolo EMV permite la firma de un desafío de tal manera (sé que lo hace como parte de un flujo de transacciones, pero puede haber algunas advertencias)?
  3. ¿Se puede crear una aplicación de propósito general (Android / iOS), o las tarjetas tienen variaciones significativas en sus implementaciones de EMV?
  4. ¿Los pares de llaves EMV tienen certificados X.509 correspondientes emitidos por alguna CA? ¿Y se pueden verificar los certificados revocados?
pregunta Bozho 18.11.2017 - 16:44
fuente

1 respuesta

1

Lo único disponible para usted a través de una tarjeta bancaria sin contacto es un número de identificación (de la tarjeta). Para obtener más, debe seguir las pautas adecuadas y la seguridad de las tarjetas sin contacto.

Esto significa que, si bien puede obtener el ID de la tarjeta, no puede realizar más suposiciones. Ciertamente no proporciona mucha seguridad.

Habiendo dicho eso, hay muchas aplicaciones que utilizan este método. Los más comunes son los sistemas de impresión "sígueme" y de reserva de salas (los que tienen pantallas fuera de las salas). Ambos tipos de sistemas comunes utilizan los datos mínimos de la tarjeta. Usted registra su tarjeta contra su identificación de usuario. Esto está bien ya que los riesgos de compromiso son muy bajos.

Como siempre, esto se reduce a un análisis de riesgo.

    
respondido por el Julian Knight 24.11.2017 - 22:33
fuente

Lea otras preguntas en las etiquetas