Autenticación de dos factores compatible con PSD2

Navega tus respuestas
7

De acuerdo con PSD2, los elementos de la autenticación multifactor deben ser independientes para que el compromiso de un elemento no comprometa al otro.

Aquí está el artículo de la directiva:

  

* Artículo 9

     

Independencia de los elementos,

     
  1. Los proveedores de servicios de pago garantizarán que el uso de los elementos de autenticación fuerte del cliente a los que se hace referencia en los artículos 6, 7 y 8   estarán sujetos a medidas en términos de tecnología, algoritmos y   parámetros, que aseguran que el incumplimiento de uno de los elementos no   no comprometer la fiabilidad de los otros elementos.
    2.   
  2. Donde cualquiera de los elementos de la autenticación fuerte del cliente o el código de autenticación se use a través de un dispositivo de usos múltiples, incluido   teléfonos móviles y tabletas, los proveedores de servicios de pago adoptarán   medidas de seguridad para mitigar el riesgo resultante de la   dispositivo multiusos comprometido.
    3.   
  3. A los efectos del párrafo 2, las medidas de mitigación incluirán cada uno de los siguientes:   (a) El uso de seguros separados.   entornos de ejecución a través del software instalado en el interior del   dispositivo multiusos;   (b) mecanismos para garantizar que el software o   dispositivo no ha sido alterado por el pagador o por un tercero o   mecanismos para mitigar las consecuencias de dicha alteración cuando este   ha tenido lugar. *
    4.   

La pregunta es ¿qué podría considerarse independiente en este caso?

Imaginemos el siguiente escenario:

El cliente utiliza el navegador de su teléfono para acceder al sitio web de banca en línea. Se requiere contraseña y otro elemento (basado en la posesión) para la autenticación.

En caso de que el segundo factor sea una contraseña de una sola vez enviada por SMS al teléfono, un solo malware es suficiente para comprometer el teléfono, instalar un keylogger para robar la contraseña y robar el SMS a medida que llega.

Basado en esta OTP a través de SMS es un no ir.

Ahora supongamos que el SMS OTP se reemplaza por una notificación de inserción (el cliente debe instalar la aplicación móvil del Banco anteriormente). Hay pocas posibilidades para la implementación exacta:

  • se envía un OTP a través de push

  • aparece una ventana de aprobación y el usuario debe tocar el botón de aprobación (tal como lo hace Google)

  • aparece un CAPTCHA y el usuario necesita resolverlo

  • Generación de OTP con token suave

  • etc.

En el caso de cualquiera de las soluciones mencionadas anteriormente, si el atacante podría explotar una vulnerabilidad en el sistema operativo del teléfono y obtener permiso de root, puede robar la contraseña de los clientes y validar la transacción con el segundo factor de autenticación, al menos en teoría ( instalando algún tipo de herramienta de acceso remoto).

Los tokens duros no sirven tampoco por razones de experiencia de usuario.

¿La caja de arena separada que utilizan tanto Android como iOS se considera un entorno de ejecución seguro que cumple con la siguiente parte de la directiva?

  

El uso de entornos de ejecución seguros separados a través de   software instalado dentro del dispositivo multiuso

¿Cuál podría ser una solución efectiva que cumpla con la regulación y que también sea conveniente para el cliente?

    
pregunta Richard Leonard Kirner 18.01.2018 - 14:47
fuente

1 respuesta

0

tl; dr; Nadie puede decirlo con seguridad y esto es altamente discutible

Poco historial: hubo un cambio de "entorno de ejecución confiable" a "entorno de ejecución seguro". Se documenta aquí: enlace

La mayoría de la industria (que yo sepa) está de acuerdo en que esto implica que el TEE basado en hardware no es un requisito. Hay algunas razones proporcionadas en ese documento:

  

El Artículo 6 (2) (ahora el Artículo 9 (2)) no se refiere a la segregación, solo   El artículo 2.2.b hace. Ver comentarios [10] y [11] sobre eso. La EBA tiene   Por lo tanto, no hizo ningún cambio al artículo. Sin embargo, en relación con   comentar i), la EBA está de acuerdo en que los PSP solo pueden mitigar los riesgos   dentro de su ámbito de competencia. La EBA ha realizado cambios en el artículo.   6 (3) (ahora artículo 9 (3)) para especificar que el foco está en el software   utilizado por la PSP en lugar del propio hardware.

EBA rechazó varias solicitudes para ser más específicas sobre cómo lograr la separación de los entornos de ejecución. De esto podemos entender que debería preocuparse solo por la implementación correcta del software, pero ¿qué significa eso? Vamos a profundizar.

Hay un documento más antiguo con un lenguaje menos vago: enlace

  
  1. Además, el procedimiento de autenticación debe garantizar la confidencialidad, autenticidad e integridad de la información.   Mostrado al pagador a través de todas las fases de la autenticación.   procedimiento que incluye la generación, transmisión y uso de   Código de autenticación. Para ello, el canal, dispositivo o móvil.   Solicitud en la que la información sobre el importe y el beneficiario de   la transacción se muestra debe ser independiente o segregada de   el canal, dispositivo o aplicación móvil utilizado para iniciar el   pago. Esto se puede hacer, por ejemplo, a través de un canal independiente para   evitar cualquier manipulación de los detalles de la transacción a través de la   proceso de iniciación de la transacción de pago.
    2.   

Teniendo en cuenta todo esto, opino que el uso de la plataforma de sandbox es una solución completamente compatible. Aunque podría no ser el más seguro. Todo tiene sentido cuando se habla de plataformas móviles, el entorno web es aún más confuso, porque no tiene ninguna zona de pruebas.

    
respondido por el Dissimilis 29.08.2018 - 13:15
fuente

Lea otras preguntas en las etiquetas

¿HTTPS lo protege de las huellas dactilares de la NSA? Conectándose a través de SPNEGO / Kerberos desde el dominio