Diamo un'occhiata più da vicino se i numeri di autenticazione delle transazioni (TAN), come ad esempio: mTAN, chipTAN e pushTAN soddisfano i requisiti di un metodo di autenticazione a due fattori sicuro.
descrizione di ciascuno di essi:
- mTAN: il numero di autenticazione viene inviato al telefono del cliente tramite SMS.
- chipTAN: il cliente possiede uno speciale dispositivo in cui inserisce la sua carta di credito, scansiona un codice a barre dal sito web della banca e un numero di autenticazione appena generato viene visualizzato sullo schermo del dispositivo di piccole dimensioni.
- pushTAN: il numero viene ricevuto da un'applicazione speciale separata sul telefono del cliente che non è l'app bancaria.
Sono interessato sia all'applicazione mobile banking che al portale web bancario.
Ecco i miei pensieri su di loro.
a) Applicazione mobile.
mTAN: In questo caso l'utente malintenzionato diverso da username / password attacker deve solo avere accesso solo al telefono cellulare della vittima per raggiungere il suo obiettivo. Quindi l'autenticazione del secondo fattore non aggiunge molta sicurezza. Complessivamente - Non è così sicuro?
chipTAN: in questo caso, ad eccezione del nome utente / password, l'attaccante deve fisicamente avere il telefono cellulare, il dispositivo generatore di tan e la carta di credito della vittima per il successo, il che aggiunge sostanzialmente altri tre livelli di sicurezza. Quindi penso che questo si qualifica come un metodo sicuro?
pushTAN: anche in questo caso l'attaccante deve avere accesso al telefono della vittima, poiché l'applicazione separata viene installata anche sullo stesso smartphone. Quindi questo è altrettanto (non) sicuro come MTAN?
b) Portale della banca:
mTAN: è fondamentalmente uguale alla versione dell'applicazione mobile di mTAN.
chipTAN: in questo caso l'attaccante non ha bisogno di avere accesso al telefono cellulare, ma solo il nome utente / password, il dispositivo generatore di tan e la carta bancaria. Questo sembra ancora sicuro per me.
pushTAN: non sono abbastanza sicuro di come collegare il push-banking e il mobile banking basato sul portale web, ma l'utente malintenzionato dovrebbe avere il nome utente / password e anche l'accesso al telefono cellulare.
Fondamentalmente il mio 'compito' è di dichiarare se i metodi di autenticazione a due fattori sopra menzionati sono sicuri e se non di descrivere l'attacco.
Per favore correggimi se ho detto qualcosa di sbagliato e sarei grato se potessi suggerirmi alcuni attacchi che possono avere successo contro quei metodi.