sicurezza nell'app banking con codice pin a 4 cifre e numero di previdenza sociale

1

La nuova app bancaria (per la banca norvegese Gjensidige bank) per il mio telefono Android mi consente di accedere utilizzando solo il mio numero di previdenza sociale e un codice pin di 4 cifre. Il numero di previdenza sociale in Norvegia non è un numero segreto (anche se la gente di solito non lo pubblica online). Il telefono è registrato nella banca internet, per consentire l'applicazione per ogni particolare portatile.

Non capisco come questo possa essere un approccio sicuro? Qualunque cosa sia successo all'autenticazione a due fattori?

Ho visto persino un'altra applicazione bancaria (per skandiabanken, link (tradotto dal norvegese)) su IOS che consente di accedere utilizzando solo un codice pin di 4 cifre (mio padre ha chiesto se questo era sicuro, ma l'ho scoraggiato dall'installarlo).

Come può essere più sicuro accedere da un telefono cellulare o un iPad piuttosto che da un computer? Sembra esserci qualche aspetto di ciò che non capisco, qualcuno può illuminarmi? (spero di essere in argomento qui ...)

Aggiunta di alcune informazioni dai commenti: Il telefono / dispositivo doveva essere registrato mediante la firma digitale nella banca online. Non avevo bisogno di fornire alcuna informazione sul telefono, ma l'app doveva essere attivata con un codice a 8 cifre dopo la registrazione nella banca online.

Il mio problema è che non riesco ancora a vedere la differenza principale nell'usare un'app da un telefono o un ipad e utilizzare un'applet (che è ciò che viene usato per l'autenticazione a due fattori in Norvegia) da un laptop.

L'autenticazione a due fattori è necessaria solo se la banca non sa da dove proviene la richiesta? Quindi, se potessi pre-registrare il mio laptop con la banca, e nel processo di salvare un certificato sul laptop, sarebbe OK usare solo un codice a 4 cifre per accedere alla banca dal portatile? Questo suona molto simile al processo di login nella mia prima banca online (avevo solo bisogno di una vera password, non era sufficiente con un pin a 4 cifre).

    
posta jonasfh 28.07.2014 - 23:20
fonte

1 risposta

3

Da ciò che descrivi, il processo potrebbe essere il seguente:

  • Durante la registrazione del dispositivo, l'applicazione sul dispositivo (sia esso un telefono o un laptop) genera un valore segreto e lo invia alla banca; lo memorizza anche. Questo "segreto" potrebbe essere una chiave segreta o una coppia di chiavi privata / pubblica: non importa molto qui. Il punto è che ora il dispositivo può essere riconosciuto dalla banca come il dispositivo .

  • Il "codice di registrazione" è una password monouso che si usa per affermare alla banca: "questo è il mio dispositivo, ricordalo".

  • Quando accedi, il dispositivo si connette alla banca e utilizza il suo valore segreto memorizzato per autenticare con la banca.

  • Il codice PIN viene inviato alla banca per la verifica. Il dispositivo non memorizza il codice PIN o qualsiasi cosa che gli consente di verificare quel codice. La banca applica una politica di blocco automatico, come fanno le smart card (dopo 3 codici PIN sbagliati, la banca si rifiuta di parlare ulteriormente).

  • Supponiamo che il codice dell'applicazione sia sicuro (non modificato dagli autori di attacchi); le comunicazioni utilizzano SSL in modo che il codice dell'applicazione sia sempre garantito per comunicare con il vero server bancario e i dati possono essere scambiati in modo sicuro.

Questo incarna davvero autenticazione a due fattori : per accedere correttamente, devi utilizzare il dispositivo registrato (" qualcosa che hai ") e inserisci il codice PIN corretto (" qualcosa che conosci "). Se un utente malintenzionato ruba il telefono, può avviare la connessione (la banca riconosce il telefono) ma verrà bloccato quando si tratta del PIN. Viceversa, se un utente malintenzionato impara il codice PIN ma non riesce ad afferrare il telefono, non sarà in grado di inviare il codice PIN alla banca per la verifica (la banca accetterà di prendere in considerazione un codice PIN solo se proviene da un dispositivo debitamente autenticato) .

L'uso del numero di previdenza sociale è principalmente per lo spettacolo: rende il processo più "sicuro". Ma migliora le cose solo nella misura in cui quel numero non è noto all'attaccante. Come noti, i numeri di previdenza sociale non sono davvero segreti. Potrebbero rallentare un attaccante disinvolto e poco competente (ad esempio, il tizio che ha rubato il telefono e si è messo a correre per farlo, e sta cercando di vedere se può "essere fortunato" e saccheggiare anche i tuoi conti bancari).

Ora la parte difficile : come mai uno schema del genere con un telefono (o un tablet) sarebbe "più sicuro" del meccanismo equivalente con un computer? E la risposta è: concettualmente, è non più sicuro. Tuttavia, esiste una nozione diffusa che il malware come i keylogger siano meno diffusi nel mondo degli smartphone che nei computer generici. In questo senso, la banca ritiene che il tuo laptop sia meno affidabile del tuo telefono. Questo riguarda l'ultima proprietà che ho elencato sopra: il protocollo funziona solo fino a quando il codice dell'applicazione è effettivamente inalterato e viene eseguito su hardware che non è sotto controllo ostile.

    
risposta data 29.07.2014 - 16:53
fonte

Leggi altre domande sui tag