Bank invia una password unica via e-mail (durante l'invio su SMS) per la verifica della transazione; è questo insicuro?

Naviga le tue risposte
3

La maggior parte delle banche utilizza OTP (One Time Password) per arricchire l'autenticazione tramite un fattore doppio.

Ma ho osservato che le banche inviano l'OTP ai dispositivi mobili e anche alle e-mail.

Suppongo che la condivisione di password su email non sia sicura e non è una pratica consigliata dagli esperti di Information Security.

Di seguito è riportata l'email di esempio che ricevo con l'OTP sul cellulare:

Il mio OTP non è sicuro a causa della pratica bancaria? O mi manca qualcosa qui?

    
posta Sayan 03.10.2018 - 03:33
fonte

3 risposte

2

L'autenticazione a più fattori (ovvero l'autenticazione a due fattori) è più sicura rispetto all'utilizzo di una password di lunga durata. La password unica che si trova nel tuo account e-mail sarà inutile se (1) non hai la password / chiave segreta dell'account (o altri fattori richiesti per accedere) o (2) la password una tantum è stata utilizzata una volta .

Sì, è un cattivo consiglio inviare password di lunga durata via e-mail o SMS (poiché le e-mail vengono spesso trasferite tra i server di posta elettronica non crittografate e possono essere intercettate - ad esempio dagli amministratori di sistema dannosi - e le e-mail sono comunemente archiviate sul desktop in chiaro). Tuttavia, è prassi comune inviare password inutili da sole senza altri fattori. In effetti è decisamente più strong di quanto non richieda gli altri fattori. Esistono modi potenzialmente migliori per eseguire l'autenticazione a più fattori rispetto a email potenzialmente insicuri (ad esempio, i token fisici emessi dalla società anche se probabilmente non è possibile per ogni banca emettere token fisici separati per ogni cliente e si aspetta che la maggior parte dei clienti li tenga al sicuro e non li perda). Bottom-line, che richiede un fattore aggiuntivo per dimostrare la capacità di leggere i messaggi inviati al tuo indirizzo email o numero di telefono è più strong di non averlo richiesto (anche se sarebbe una cattiva idea consentire a qualcuno con accesso solo al tuo telefono o indirizzo email facilmente avere il pieno controllo del tuo conto in banca).

    
risposta data 03.10.2018 - 17:52
fonte
1

Sì, hai ragione, il metodo di consegna non è sicuro. l'OTP è eccellente come agente di sicurezza della password statica. come in TFA. e ciò che mi preoccupa di più non è il tempo che scade per quell'OTP ... forse non avrai pieno accesso per modificare o modificare le impostazioni personali. Penso che tu abbia bisogno di investigare di più sulla tua sicurezza bancaria.

    
risposta data 03.10.2018 - 17:31
fonte
0

Aggiunta al commento @Sefa:

Un utente malintenzionato dovrebbe intercettare l'OTP quando viene inviato a te. Possibilità a cui posso pensare:

  • intercettazione degli SMS se non criptata (vedi link )
  • Scambio di SIM (vedi link )
  • intercettazione dell'e-mail (se non criptata)
  • compromissione del tuo account di posta elettronica (ad esempio credenziali rubate o violazione dei dati)

L'attaccante potrebbe utilizzare uno di questi metodi mentre ha accesso alle credenziali del tuo conto bancario.

I token OTP sono considerati più sicuri se non vengono inviati ma generati da un dispositivo in tuo possesso (ad esempio, l'autenticatore come Google Authenticator o FIDO U2F Security Key come YubiKey)

    
risposta data 03.10.2018 - 17:04
fonte

Leggi altre domande sui tag

Il LiveCD di Ophcrack richiede la raccolta di hash tramite programmi come pwdump? Quando paghi con la carta su un sito web, le informazioni di pagamento false faranno fallire l'ordine?