¿Cómo generar y usar correctamente los TAN (m)?

10

Si tiene una aplicación que utiliza números de autenticación de transacción (TAN) o TAN móviles, ¿cómo los genera correctamente? ¿Cuáles son las trampas?

¿Y solo debería permitir el siguiente número en la lista, o cuáles son las mejores prácticas para usar los TAN?

    
pregunta Andreas Arnold 16.11.2010 - 11:52
fuente

1 respuesta

7

Lo más importante que necesita es un generador de números aleatorios (bueno). He visto algunos casos en los que los TAN no se distribuyeron al azar y, por lo tanto, se pueden adivinar.

  1. Usted acaba de generar una lista de TANs. El usuario puede seleccionar un TAN para cada transacción. Esta es una de las variantes más inseguras de usar listas TAN. El usuario puede ser engañado en algún sitio de phishing, ingresa el nombre de usuario, la contraseña y TAN. El atacante los toma y los usa.
  2. Una versión mejor son los TANs indexados (iTAN). Cada TAN obtiene un número de índice. Cuando el usuario desea finalizar una transacción, el sitio solicita un TAN con un número de índice específico. Cuando el usuario visita un sitio de phishing e ingresa también el nombre de usuario, la contraseña y el TAN, es menos probable que ingrese el TAN que se necesita para la siguiente transacción. Así que esto da más seguridad.
  3. En mi opinión, los TAN móviles (mTAN) son la mejor forma de gestionarlos. Si el usuario desea finalizar una transacción, su contraparte envía un mensaje corto (SMS). Él tiene que entrar exactamente este TAN. Entonces, si el usuario visita páginas de phishing, simplemente ya no tiene TAN válidos.

Debería decidir qué tipo de TAN realmente necesita de acuerdo con los requisitos de seguridad que tiene. Además de crear TAN, debe tener un ojo en el canal de distribución (correo postal, correo electrónico, sms, etc.) de sus listas de TAN. Si elige una forma insegura, esto también puede poner en riesgo al usuario.

    
respondido por el qbi 21.11.2010 - 00:37
fuente

Lea otras preguntas en las etiquetas