Sicurezza autenticazione online a due fattori bancari [chiusa]

2

Diamo un'occhiata più da vicino se i numeri di autenticazione delle transazioni (TAN), come ad esempio: mTAN, chipTAN e pushTAN soddisfano i requisiti di un metodo di autenticazione a due fattori sicuro.

descrizione di ciascuno di essi:

  1. mTAN: il numero di autenticazione viene inviato al telefono del cliente tramite SMS.
  2. chipTAN: il cliente possiede uno speciale dispositivo in cui inserisce la sua carta di credito, scansiona un codice a barre dal sito web della banca e un numero di autenticazione appena generato viene visualizzato sullo schermo del dispositivo di piccole dimensioni.
  3. pushTAN: il numero viene ricevuto da un'applicazione speciale separata sul telefono del cliente che non è l'app bancaria.

Sono interessato sia all'applicazione mobile banking che al portale web bancario.

Ecco i miei pensieri su di loro.

a) Applicazione mobile.

mTAN: In questo caso l'utente malintenzionato diverso da username / password attacker deve solo avere accesso solo al telefono cellulare della vittima per raggiungere il suo obiettivo. Quindi l'autenticazione del secondo fattore non aggiunge molta sicurezza. Complessivamente - Non è così sicuro?

chipTAN: in questo caso, ad eccezione del nome utente / password, l'attaccante deve fisicamente avere il telefono cellulare, il dispositivo generatore di tan e la carta di credito della vittima per il successo, il che aggiunge sostanzialmente altri tre livelli di sicurezza. Quindi penso che questo si qualifica come un metodo sicuro?

pushTAN: anche in questo caso l'attaccante deve avere accesso al telefono della vittima, poiché l'applicazione separata viene installata anche sullo stesso smartphone. Quindi questo è altrettanto (non) sicuro come MTAN?

b) Portale della banca:

mTAN: è fondamentalmente uguale alla versione dell'applicazione mobile di mTAN.

chipTAN: in questo caso l'attaccante non ha bisogno di avere accesso al telefono cellulare, ma solo il nome utente / password, il dispositivo generatore di tan e la carta bancaria. Questo sembra ancora sicuro per me.

pushTAN: non sono abbastanza sicuro di come collegare il push-banking e il mobile banking basato sul portale web, ma l'utente malintenzionato dovrebbe avere il nome utente / password e anche l'accesso al telefono cellulare.

Fondamentalmente il mio 'compito' è di dichiarare se i metodi di autenticazione a due fattori sopra menzionati sono sicuri e se non di descrivere l'attacco.

Per favore correggimi se ho detto qualcosa di sbagliato e sarei grato se potessi suggerirmi alcuni attacchi che possono avere successo contro quei metodi.

    
posta Leonardo 17.11.2016 - 12:17
fonte

1 risposta

3

Mi sembra un po 'come fare i compiti (?)

Is mTAN two-factor authentication secure?

Non ottieni sicurezza utilizzando una singola tecnologia o dispositivo. La domanda dovrebbe essere estesa: garantisce l'autenticazione in tali condizioni e con gli hacker che hanno a disposizione molte risorse? La sicurezza è una proprietà (relativa) dei sistemi, non dei singoli componenti. Inoltre, l'autenticazione è principalmente un mezzo per ottenere sicurezza.

Potresti chiedere "mTAN adempie al suo scopo", e la risposta sarebbe sì, dal momento che l'autenticazione a due fattori dovrebbe rendere necessario fornire due cose (in questo caso, qualcosa che conosci e qualcosa che hai) per autenticare te stesso invece di uno solo (di solito una password, ad esempio qualcosa che conosci).

L'autenticazione a due fattori chiude alcuni punti di attacco, ma il suo scopo non è quello di far fallire tutti gli attacchi. È solo per alzare la barra.

È sempre possibile trovare attacchi contro schemi di autenticazione. Immagina di installare la serratura migliore mai progettata sulla porta del tuo appartamento e di rinforzare tutte le finestre e i muri. È sicuro? Non contro qualcuno disposto a rubare la tua chiave. Sarebbe meglio fornire la tua impronta digitale? (qualcosa che tu sei) Beh, questo può essere sconfitto in vari modi, il più brutale sembra questo: la tua password viene torturata da te e loro hanno tagliato il pollice nel processo. Bang, l'autenticazione a due fattori non è riuscita. Può fallire con meno fuochi d'artificio: puoi essere costretto da un giudice a rinunciare a entrambi i fattori, o indotto a fornire entrambi i fattori tramite l'ingegneria sociale e così via.

Quindi dimenticarsi di un metodo di autenticazione sicuro di per sé. Chiedi a quanti sforzi è quello di eluderlo o romperlo. I tuoi tre schemi TAN varieranno in quali attacchi sono i più fattibili, i più economici, i più inconsapevoli ecc.

    
risposta data 17.11.2016 - 13:11
fonte

Leggi altre domande sui tag