Bank invia una password unica via e-mail (durante l'invio su SMS) per la verifica della transazione; è questo insicuro?

3

La maggior parte delle banche utilizza OTP (One Time Password) per arricchire l'autenticazione tramite un fattore doppio.

Ma ho osservato che le banche inviano l'OTP ai dispositivi mobili e anche alle e-mail.

Suppongo che la condivisione di password su email non sia sicura e non è una pratica consigliata dagli esperti di Information Security.

Di seguito è riportata l'email di esempio che ricevo con l'OTP sul cellulare:

Il mio OTP non è sicuro a causa della pratica bancaria? O mi manca qualcosa qui?

    
posta Sayan 03.10.2018 - 03:33
fonte

3 risposte

2

L'autenticazione a più fattori (ovvero l'autenticazione a due fattori) è più sicura rispetto all'utilizzo di una password di lunga durata. La password unica che si trova nel tuo account e-mail sarà inutile se (1) non hai la password / chiave segreta dell'account (o altri fattori richiesti per accedere) o (2) la password una tantum è stata utilizzata una volta .

Sì, è un cattivo consiglio inviare password di lunga durata via e-mail o SMS (poiché le e-mail vengono spesso trasferite tra i server di posta elettronica non crittografate e possono essere intercettate - ad esempio dagli amministratori di sistema dannosi - e le e-mail sono comunemente archiviate sul desktop in chiaro). Tuttavia, è prassi comune inviare password inutili da sole senza altri fattori. In effetti è decisamente più strong di quanto non richieda gli altri fattori. Esistono modi potenzialmente migliori per eseguire l'autenticazione a più fattori rispetto a email potenzialmente insicuri (ad esempio, i token fisici emessi dalla società anche se probabilmente non è possibile per ogni banca emettere token fisici separati per ogni cliente e si aspetta che la maggior parte dei clienti li tenga al sicuro e non li perda). Bottom-line, che richiede un fattore aggiuntivo per dimostrare la capacità di leggere i messaggi inviati al tuo indirizzo email o numero di telefono è più strong di non averlo richiesto (anche se sarebbe una cattiva idea consentire a qualcuno con accesso solo al tuo telefono o indirizzo email facilmente avere il pieno controllo del tuo conto in banca).

    
risposta data 03.10.2018 - 17:52
fonte
1

Sì, hai ragione, il metodo di consegna non è sicuro. l'OTP è eccellente come agente di sicurezza della password statica. come in TFA. e ciò che mi preoccupa di più non è il tempo che scade per quell'OTP ... forse non avrai pieno accesso per modificare o modificare le impostazioni personali. Penso che tu abbia bisogno di investigare di più sulla tua sicurezza bancaria.

    
risposta data 03.10.2018 - 17:31
fonte
0

Aggiunta al commento @Sefa:

Un utente malintenzionato dovrebbe intercettare l'OTP quando viene inviato a te. Possibilità a cui posso pensare:

  • intercettazione degli SMS se non criptata (vedi link )
  • Scambio di SIM (vedi link )
  • intercettazione dell'e-mail (se non criptata)
  • compromissione del tuo account di posta elettronica (ad esempio credenziali rubate o violazione dei dati)

L'attaccante potrebbe utilizzare uno di questi metodi mentre ha accesso alle credenziali del tuo conto bancario.

I token OTP sono considerati più sicuri se non vengono inviati ma generati da un dispositivo in tuo possesso (ad esempio, l'autenticatore come Google Authenticator o FIDO U2F Security Key come YubiKey)

    
risposta data 03.10.2018 - 17:04
fonte

Leggi altre domande sui tag