La banca richiede il PIN della carta per le transazioni online: com'è meglio del PIN standard a due fattori standard?

Naviga le tue risposte
1

Ho un conto in banca in una delle principali banche europee. La banca ha recentemente revisionato il proprio sistema bancario online, rendendolo più attraente dal punto di vista visivo (e anche pieno di bug ed estremamente fastidioso da usare).

Una delle modifiche è che la banca ora richiede il mio PIN ogni volta che eseguo una transazione online: ti chiama al telefono e devi inserire il PIN. Di default questo PIN è uguale a quello della carta bancomat, non so se può essere cambiato.

Quanto è vantaggioso rispetto alla precedente configurazione, che era analogamente un protocollo di autenticazione a due fattori tramite telefono, ma con una password One Time? Pensavo che questo metodo fosse sicuro e affidabile. Inserire ripetutamente il PIN ATM sul telefono per ogni transazione non mi sembra sicuro: sembra una regressione, non un miglioramento. Mi sbaglio?

    
posta AF7 18.01.2018 - 10:06
fonte

2 risposte

1

Non è necessariamente più sicuro.

La banca non si preoccupa solo della sicurezza, ma del costo ad essa associato. Se l'utilizzo di questo protocollo significa che il 2% in più di clienti è compromesso, ma il 10% meno costoso da implementare o il 10% in meno di clienti che chiamano perché non riescono a capire cosa dovrebbero fare, potrebbe essere economicamente vantaggioso scegliere la banca l'implementazione meno sicura. Ad esempio, per i meno alfabetizzati al computer che digitano un codice alla velocità, la lettura può risultare difficile.

Repeatedly inserting the ATM PIN on the phone for every transaction does not look secure to me

Per abusare di questo sistema un utente malintenzionato ha bisogno di controllare la linea telefonica, collegando l'accesso alla linea mentre lo si sta utilizzando o conoscendo il valore del pin e l'accesso a una sessione online autenticata. Direi che ha un livello di sicurezza abbastanza alto - di solito è molto più facile abusare della banca telefonica.

    
risposta data 18.01.2018 - 10:18
fonte
0

È chiaramente meno sicuro. Anche se orecchiate, le password una tantum vengono generalmente "consumate" nel momento in cui una terza parte ha la possibilità di usarle. Inoltre, per catturarli con un attacco man-in-the-middle, è necessario eseguire un sistema più elaborato rispetto all'acquisizione del PIN.

    
risposta data 18.01.2018 - 21:58
fonte

Leggi altre domande sui tag

La password e il nome utente sono rivelati quando l'IP del server e l'IP del dominio sono uguali? Il protocollo HTTP è sicuro all'interno di una connessione WPA2-PSK?