En estos videos de YouTube Modo de respuesta de desafío y Sign Mode el cliente ingresa un desafío en el dispositivo CAP antes de generar una contraseña de un solo uso. ¿Por qué no generar directamente la contraseña de un solo uso?
En estos videos de YouTube Modo de respuesta de desafío y Sign Mode el cliente ingresa un desafío en el dispositivo CAP antes de generar una contraseña de un solo uso. ¿Por qué no generar directamente la contraseña de un solo uso?
Creo que esto es para garantizar que la respuesta ingresada en el sitio web sea nueva (ish). Si la contraseña de una sola vez se generó directamente, se podría utilizar en cualquier momento en el futuro, el servidor no tiene forma de verificar cuándo se generó. Al proporcionar el desafío a la tarjeta, significa que la respuesta generada solo se puede utilizar para la transacción con el desafío correspondiente.
Este es un ejemplo de un ataque que aprovecha el hecho de que un desafío no se utiliza para todas las transacciones en línea o para iniciar sesión en su cuenta bancaria:
Se podría realizar un ataque similar con CAP. El cliente, utilizando un chip manipulado y amp; Terminal de PIN, insertaría su tarjeta y entraría su PIN como de costumbre. El terminal generaría entonces el CAP necesario. Respuestas, y opcionalmente también realizar la transacción legítima. Poco después, el cliente recibiría una llamada telefónica personalizada. o correo electrónico, indicando que una transacción sospechosa había sido notada (indicando el nombre de la tienda que acaban de usar), preguntando por su línea credenciales bancarias. Como Barclays solo usa el modo de identificar y firmar, no hay una actualización proporcionada por el servidor o una marca de tiempo, por lo que Se pueden utilizar respuestas recopiladas previamente, siempre que el cliente haya tenido mientras tanto, no ha iniciado sesión en la banca en línea. Con NatWest, que los usos responden, hay un nonce proporcionado por el servidor, por lo que el fraudulento la transacción debe realizarse casi en tiempo real, y las credenciales de la cuenta deben recogerse antes de que se generen las respuestas de la PAC. los los bancos podrían resistir este problema ofreciendo tarjetas separadas solo para CAP, pero NatWest se negó a hacerlo por uno de nosotros.
Se tomó de Optimizado para fallar: Lectores de tarjetas para banca en línea por Ross Anderson, un artículo que habla sobre el protocolo CAP y sus diversas vulnerabilidades. Su grupo tiene muchos otros artículos interesantes al igual que su sitio en Chip y PIN.
Lea otras preguntas en las etiquetas credit-card one-time-password smartcard