Perché la maggior parte delle banche nel Regno Unito usa 2FA?

Naviga le tue risposte
5

Le banche del Regno Unito come Halifax si affidano all'Internet banking che consiste in un nome utente, una password e quindi selezionare diversi caratteri da un elenco a discesa?

Perché è più sicuro che usare un nome utente, una password e un lettore di schede o un'app per dispositivi mobili per inserire una sola password? Usare semplicemente un nome utente con 2 password non è sicuro, ma non ho prove che sia meno sicuro dell'uso di una combinazione di qualcosa che conosci e qualcosa che hai.

Sembra deludente che esista un modo ovvio per migliorare significativamente e relativamente facilmente la sicurezza, ma non è stato adottato.

Pensieri?

    
posta SnowyPeaks 27.02.2018 - 09:14
fonte

3 risposte

2

In alcuni casi, usano 2FA, ma solo per transazioni "ad alto rischio". Ad esempio, quando imposto un nuovo ordine permanente o effettuo un pagamento a un account che non ho pagato prima, la mia banca richiede l'utilizzo di un codice 2FA generato da un lettore di schede mini, anche se non richiedono un codice per me per accedere e visualizzare i dati, né per effettuare un pagamento per un account che ho pagato prima.

Questo è probabilmente un tentativo di bilanciare usabilità e sicurezza - rendendo le azioni "comuni" relativamente prive di attrito, rendendo al contempo difficile deviare i fondi a un utente malintenzionato (a meno che tu non abbia già pagato legittimamente l'attaccante). Potrebbe certamente essere usato per arrecare disturbo alle persone (un utente malintenzionato che è entrato nel mio account potrebbe inviare tutti i fondi lì, ad esempio, il mio fornitore di energia elettrica, poiché in precedenza ho effettuato pagamenti a loro, il che sarebbe un problema da sbrogliare, ma sarebbe difficile per loro beneficiarne direttamente.

Tuttavia non è una situazione universale: alcuni consentono di accedere con un codice generato, altri richiedono 2FA per tutte le transazioni, altri non lo supportano affatto.

    
risposta data 27.02.2018 - 10:36
fonte
1

Per praticità.

Ci sono molte persone che sono effettivamente incapaci di usare questo sistema. Anche altre esperienze inizialmente hanno avuto grossi problemi.

Utente e password sono molto più facili per tutti. Ci vogliono 2/3 cose: utente, passa (e talvolta controlla).

La maggior parte delle banche usano le seguenti modalità: Hai un ID che usi per accedere con (1). Come password, la si genera tramite token (2) o telefono utilizzando il PIN conosciuto (3). Tu usi ciò che hai generato per accedere (4). Al momento della transazione, si ottiene un codice di transazione (5), quindi con quello utilizzato nel token (6) si genera un nuovo codice di accesso (7) che viene inserito nel foglio di transazione (8).

Per le persone che non l'hanno mai usato prima e non hanno esperienza generale su questo argomento è quasi impossibile essere usato e ci vuole del tempo per abituarsi.

Personalmente, prenderò le password in qualsiasi momento, perché le disegno bene.

    
risposta data 27.02.2018 - 10:15
fonte
1

Barclays richiede un codice da un lettore di schede per accedere e un codice diverso per i pagamenti ai nuovi clienti, quindi ci sono banche con una sicurezza migliore.

IIRC TSB effettua la verifica telefonica per i pagamenti verso nuove destinazioni.

La seconda password a discesa è quella di sconfiggere i semplici logger della tastiera, che altrimenti potrebbero registrare nome utente e password (e possibilmente l'URL per attivare l'acquisizione). Registratori più efficaci registrano anche screenshot. Chiedendo solo 2 caratteri, impediscono anche a una singola registrazione di ottenere tutte le risposte.

    
risposta data 27.02.2018 - 12:06
fonte

Leggi altre domande sui tag

Quali sono i pro e i contro di rivelare una vulnerabilità prima che venga riparata? In che modo Google rileva gli attacchi sponsorizzati dallo Stato