Se WS-Fed, Mozilla's Persona o OpenID sono mai stati usati con un'applicazione Banking?

Naviga le tue risposte
1

La maggior parte dei siti bancari che ho visto utilizzano un processo di accesso proprietario o altrimenti non si integreranno con un IDP esterno.

  • Le banche dovrebbero offrire l'integrazione con servizi come i sistemi OpenID, WS-Fed o Persona?

  • Se una banca utilizza queste tecnologie (WS-Fed, Persona o OpenID) anche se sono "chiuse" e non federate con terze parti?

Il mio desiderio è che possano offrire servizi di autenticazione a più fattori anche se l'applicazione web di destinazione non supporta il fattore multi.

Aggiornamento:

Se una banca sostenesse tale schema, una seconda sfida sarebbe utile / appropriata? (Password, OTP, Etc)

    
posta random65537 15.01.2013 - 16:58
fonte

3 risposte

1

Penso che le banche dovrebbero mantenere i loro sistemi chiusi e avere politiche di sicurezza più rigide rispetto alla maggior parte dei fornitori di OpenID. Immagina di accedere al tuo conto bancario utilizzando Facebook, Gmail o altri fornitori. Ciò aumenterebbe notevolmente la superficie di attacco.

La maggior parte delle banche dispone di token hardware per i propri siti di Web banking e di numerose altre funzionalità di sicurezza per proteggere le transazioni. Le impostazioni comuni riguardano:

  • Autenticazione primaria utilizzando un nome utente e una password
  • Su ogni operazione sensibile mentre si è connessi, viene richiesto un token generato dal dispositivo hardware
  • Un messaggio viene inviato alla tua email / telefono con i dettagli sulla transazione che sono stati fatti superare un determinato importo.

Le banche hanno un ambiente molto sensibile che devono proteggere e affidarsi a terzi per l'autenticazione non è la soluzione migliore.

Dovrebbero avere sistemi forti che possano essere controllati in qualsiasi momento e dovrebbero anche essere in grado di gestire qualsiasi incidente di sicurezza (hanno meccanismi di registrazione, avvisi di comportamento anormale, ecc.).

Se la tua banca non dispone già dell'autenticazione a più fattori, sono un passo indietro rispetto alla sicurezza delle loro applicazioni Web.

    
risposta data 15.01.2013 - 17:12
fonte
1

Le banche dovrebbero mantenere chiusa la propria autenticazione anziché utilizzare una terza parte.

  1. Controllo del rischio: le banche devono controllare i propri rischi e l'utilizzo di un sistema di autenticazione di terze parti introduce rischi fuori dal loro controllo. Questo potrebbe cambiare con lo sviluppo di sistemi di terze parti
  2. renderebbe i sistemi di autenticazione di terze parti ancora più target. Se tutte le banche avessero iniziato a utilizzare OpenID, tutti i cracker avrebbero optato per OpenID in quanto il successo avrebbe consentito loro l'accesso a una grande varietà di account. Avere un sacco di diversi sistemi di autenticazione può essere cattivo in qualche modo, ma almeno mantiene occupati i nerd con i cappelli neri.
risposta data 15.01.2013 - 17:35
fonte
0

Mentre i sistemi come OpenID sono grandi dal punto di vista di consentire credenziali condivise che sono garantite da una parte (si spera) attendibili, sono problematiche quando si tratta di attività finanziarie poiché la banca non ha alcun controllo sul sistema di terzi e ha pochissimo modo di rilevare se il provider remoto è stato compromesso. (Anche se sono sicuro che un milione di utenti di Facebook si sono collegati improvvisamente e hanno iniziato a dire di inviare l'intero saldo disponibile a qualche account russo casuale, potrebbe indicare un problema.)

In definitiva, le credenziali condivise in generale sono una cattiva idea, in particolare quando si attraversano diversi livelli di sensibilità al rischio. Sebbene OpenID ti consenta di limitare il danno potenziale, permettendo ad esso di essere memorizzato in un unico posto e, quindi, ha una superficie di attacco più piccola ed è più facilmente aggiornato, mette ancora un sacco di chiavi su un portachiavi.

Gestisco il mio server OpenID, ma non sono nemmeno sicuro di voler utilizzare il mio OpenID per le mie transazioni finanziarie poiché tali account sono tutti raggruppati in una categoria di sicurezza significativamente al di sopra di qualsiasi altro account giornaliero.

    
risposta data 15.01.2013 - 18:38
fonte

Leggi altre domande sui tag

Come faccio a importare una chiave privata PKCS # 12 in Java 5 (che potrebbe richiedere PKCS # 7) Google Analytics raccoglie informazioni sui contenuti della pagina Web?