Perché la mia banca utilizza questo metodo di verifica?

2

Conservo il mio account aziendale con Lloyds TSB [Regno Unito] e il processo di accesso ai loro servizi di banking online è il seguente:

  1. Pagina di accesso
  2. Inserisci il numero cliente
  3. Inserisci la password
  4. Inserisci la carta di debito nel proprio lettore di schede
  5. Inserisci il PIN per la carta di debito e premi "identifica"
  6. Inserisci il codice a 8 cifre generato per completare l'accesso

Dopo tre tentativi errati, l'account è bloccato finché non inviano una lettera con le informazioni di sblocco.

Capisco che le banche debbano essere molto protette, ma sicuramente sarebbe più sicuro (e più semplice ed economico) avere due [lunghe] password di cui chiede determinati caratteri?

Modifica: Inoltre. Questo lettore di schede è solo un lettore economico, leggero, da calcolatrice. Non vedo come possa connettersi a Internet per la verifica, il che significa che può determinare se il PIN delle schede inserite è corretto o meno. Sicuramente il software sul lettore potrebbe essere sfruttato per ottenere il PIN di una carta?

    
posta Anonymous 30.05.2012 - 14:40
fonte

4 risposte

9
  1. Login page
  2. Enter customer number
  3. Enter password

Finora, questo è ciò a cui sei abituato: username & password.

  1. Put debit card into their card reader
  2. Put in PIN for the debit card and press 'identify'
  3. Enter 8 digit code generated to complete the login

Questo è un secondo fattore. L'algoritmo per generare questo numero è condiviso dalla banca e dalla tua carta. Il segreto è memorizzato con la banca e anche nella tua carta. Il computer usa l'ora corrente come seme (presumo sia connesso). Da questo, anche se uno compromette la tua macchina e annusa la tua password, non possono usarla senza la scheda hardware. Il dispositivo hardware non riporta il numero al computer, quindi non può essere chiamato automaticamente se lasci la scheda nel sistema.

Sarebbe meno sicuro usare due password e selezionare caratteri casuali. La banca di riferimento di cui parlava che cosa costituisce una sicurezza a due fattori ha utilizzato un metodo simile a questo - più password che non sono state Tutto usato allo stesso tempo. Un aggressore ha monitorato il computer del cliente per un periodo di tempo e ha camminato con un sacco di soldi.

Da questo, perdere la tua carta non compromette il tuo account. Qualcuno deve ritirare fisicamente la tua carta, quindi un attacco non può essere completamente remoto. Qualcuno non può prelevare la tua carta dalla strada e accedere al tuo account. Hanno ancora bisogno di un numero di conto e la password. A meno che tu non abbia perso la tua carta con il tuo numero di conto e la password scritta (per essere semplici, consideriamo questo il problema del costruire un idiota migliore ), le tue probabilità di compromesso sono molto più basse che con un semplice coppia di password.

    
risposta data 30.05.2012 - 15:08
fonte
5

Si chiama autenticazione a due fattori. Facendoti autenticarti in due modi molto diversi, la sicurezza è aumentata, perché un utente malintenzionato deve ora violare entrambi i metodi.

I due fattori qui sono "qualcosa che conosci" che è la password e "qualcosa che hai" che è la carta di debito.

Di conseguenza, se un utente malintenzionato riesce a impossessarsi della tua carta in qualche modo, non può accedere al tuo banking online, poiché ha anche bisogno della tua password. Oppure, se scoprono la tua password, non è sufficiente, perché hanno bisogno anche della scheda.

Non sto dicendo che due fattori ti rendono invulnerabile, e inoltre ci sono vari reclami su come è stato implementato questo specifico sistema - noto come Programma di autenticazione Chip o Autenticazione dinamica del passcode - ma rende l'attacco più difficile, ed è una buona cosa.

In risposta al tuo punto finale, il PIN non è verificato contro la banca, ma contro la tua carta di debito stessa.

    
risposta data 30.05.2012 - 17:06
fonte
2

Quindi questa è la prima volta che vedo un sistema come questo (io vengo dagli Stati) e questo è di gran lunga superiore a quello che ci viene offerto. Otteniamo qualcosa che conosci (password) + qualcosa che conosci (verifica dell'immagine) + qualcosa che conosci (domanda segreta). La tua banca fornisce effettivamente l'autenticazione a 2 fattori. Perché ottieni qualcosa che conosci (pin, password, ecc.) + Qualcosa che hai (carta di debito). Mentre è più semplice e "meno costoso" implementare l'autenticazione a un fattore che le banche con cui ho a che fare, finisce per perdere qualcosa quando si può accedere all'account di qualcuno perché si conoscono le stesse cose che sanno. Per quanto riguarda l'efficacia dei costi, dipende da quanto il sistema del lettore di schede costa rispetto al costo medio di furto / frode. La mia ipotesi è furto / frode > costo del lettore di schede.

    
risposta data 30.05.2012 - 14:45
fonte
1

In primo luogo: le password possono essere dimenticate, avendo 2 password diverse con requisiti molto severi possono causare problemi con i clienti dimenticando le loro password. Le password possono anche essere indovinate attraverso attacchi bruteforcing o dizionario, dato un tempo sufficiente.

Il lettore di schede fornisce un'autenticazione a due fattori. Scansionando la tua carta e inserendo il PIN, probabilmente genererai una password unica che non può essere facilmente indovinata senza conoscere l'algoritmo alla base della sua generazione.

Ciò garantisce che il tuo account non possa essere rinforzato senza che tu perda effettivamente il possesso della carta fisica.

link

Questa voce di wikipedia fornisce una spiegazione sui motivi alla base dell'implementazione di un sistema di password monouso.

    
risposta data 30.05.2012 - 14:45
fonte

Leggi altre domande sui tag