Tengo que hacer una presentación sobre el desarrollo de un plan de autenticación para una aplicación de servicios financieros que se utiliza para administrar una cartera de inversiones. Tengo que desarrollar escenarios de uso para las 2 funciones (depositar dinero en un fondo y retirarme de él). ¿Cómo diferirían los escenarios de uso?
La autenticación, como la mayoría de las acciones de seguridad, debe corresponder al riesgo.
Considere el depósito: ¿cuál es el riesgo que presenta un depósito erróneo (potencialmente fraudulento)? Desde un punto de vista estrictamente financiero, el impacto se limita al reembolso del depósito. (Hay situaciones legales donde podría ser más grande).
Considere el retiro: ¿cuál es el riesgo que presenta un retiro erróneo? Es al menos el doble de la cantidad: tiene la obligación de buena fe de reembolsar al titular de la cuenta el dinero que se le ha confiado, además de perder la cantidad retirada. Hay riesgos secundarios para su reputación para el titular de la cuenta, para el beneficiario del error y para el público / otros titulares de la cuenta. También es probable que haya consecuencias legales / reglamentarias.
¿En qué se diferencian las autenticaciones? Obviamente, la autenticación de depósito se encuentra en un nivel más bajo de seguridad. La transacción de retiro probablemente debería requerir una autenticación de mayor seguridad y amp; la autorización, probablemente debería limitarse a un pequeño conjunto de destinos previamente acordados, y debería tener un seguimiento de auditoría más estricto.
¿Cómo aumenta el nivel de seguridad de la transacción? Afortunadamente, hay muchos recursos que ayudarán con eso.
Personalmente, creo que ambos escenarios difieren. Piense en ello como una alcancía ordinaria; Es fácil poner dinero en la alcancía, es más difícil sacarlo.
Suponiendo que un atacante desea "robar dinero", estaría más preocupado cuando se realice un retiro. Cuando se deposita el dinero, asumo que la seguridad estaría en la autenticación / autorización en el otro extremo. Si, como mencionó en su comentario, el dinero se retira de una cuenta, es posible que desee poner cheques adicionales allí (el "ataque" es que un usuario malintencionado podría "bloquear" los fondos de alguien invirtiéndolos en un plan a largo plazo, afectando la liquidez de su cliente.)
En general, una verificación para asegurarse de que el usuario deseado quería realizar una transacción es buena. Muchos bancos usan un token de hardware que verifica un código PIN y el monto de la transacción.
los escenarios solo diferirían con la acción de retirar y depositar, pero no entiendo su pregunta por completo, pero PIENSO que quiere decir, si necesita una autenticación diferente para ambos.
bueno, intente usar un poco de lo que usan los bancos (al menos, aquí en los Países Bajos), debe autorizarse para iniciar sesión en el entorno web y luego usar un método de autenticación de 2 pasos para cada acción que realice ( depositar, enviar dinero etc.).
Al hacer un proyecto, mirar a otros ayuda, prueba esa idea, la autenticación para el inicio de sesión y la autenticación para la acción: 3
Lea otras preguntas en las etiquetas authentication financial money