Ulteriore conferma per i pagamenti bancari online

Ho fatto pentesting professionale per un po 'di tempo per coprire molte delle banche che hanno un permesso qui in Svizzera. Tradizionalmente utilizzavano solo nome utente / password .

Quindi passarono a TAN (numero di autenticazione della transazione) distribuito su carta. Conosco solo 2 banche rimanenti in Svizzera che stanno ancora facendo questo. Ci sono due ragioni: (1) È economico e (2) alcuni utenti legacy hanno ancora paura della tecnologia aggiuntiva.

La maggior parte delle banche applica l'autenticazione a due fattori tramite altri dispositivi. Le soluzioni principali sono smartcard , token e SMS . Sono costosi, tutti loro: token / smartcard richiedono un investimento iniziale e gli SMS devono essere pagati per messaggio.

I clienti che hanno bisogno di accedere e creare transazioni decine di volte al giorno non sono benvenuti quando si tratta di SMS. Le banche svizzere tendono a pagare i costi di invio di questi messaggi. Ma alcuni di loro stanno pensando di lasciare che i loro clienti paghino per questo o almeno di limitare la quantità di messaggi inviati di giorno.

Gli SMS potrebbero essere intercettati durante la trasmissione o mentre si riposa su un dispositivo mobile (che potrebbe essere utilizzato anche per il login bancario stesso). Questo è il motivo per cui le soluzioni separate fisicamente come i token sono preferite quando si tratta di soluzioni ad alta sicurezza.

Non ho mai sentito di usare solo la data di nascita per l'autenticazione. È una cattiva idea dato che una data di nascita non è revocabile. Significato se è "compromesso" non puoi cambiarlo.

Se è l'unico mezzo di autenticazione per la consultazione di account o transazioni, è un IDENTICO MALE .

Ma questo mi porta al secondo punto. In generale, non è considerato il tuo rischio, ma quello della banca. Se riesci a provare che il loro meccanismo di autenticazione fa schifo e sei stato truffato, c'è una ragionevole possibilità che la banca ti ripaghi perché non erano molto diligenti.

Detto questo, dovresti comunque affrontare molti problemi per risolvere il problema. Se una banca sta adottando un approccio del genere e non ci sono altri controlli in vigore, non starei con la banca.

La maggior parte delle banche preferirebbe utilizzare più stadi di autenticazione. Questi sono classificati come:

1. Qualcosa che conosci (password)
2. Qualcosa che hai (carta / token / telefono)
3. Qualcosa che sei (biometrico)

Chiedendo un DoB, la tua banca si limita a una sola fonte. Considerando che una volta nota una password è difficile presumere che l'attaccante non possa trovare la data di nascita.

Tuttavia, la configurazione dell'infrastruttura per il secondo tipo di autenticazione può essere costosa. La maggior parte delle aziende soppesa il rischio (somma di denaro persa nel pagare le perdite dovute a transazioni online illegali) rispetto al costo di implementazione di questo sistema. Nelle economie in cui non vi sono pressioni legali che spingono a una maggiore autenticazione dei pagamenti e costi di frode online molto bassi, è logico che le banche non investano in sistemi complicati. La banca potrebbe anche fare questo solo per le transazioni di basso valore o perché le transazioni online sono poche.

Leggi anche: Schneier che prevede che 2FA non decollerà perché i guadagni sarebbe trascurabile (questo era nel 2005).