La nostra banca emetteva schede di codice, con 72 password stampate su di esse. Per accedere alla banca netta ci serviva sapere:
- Il nostro numero di conto bancario (lo abbiamo annotato)
- Una password che abbiamo scelto. Non dovevamo dirlo a nessuno o scriverlo
- Un codice casuale (specificato durante il login) dalla scheda del codice.
Per confermare una transazione, abbiamo utilizzato un'altra password.
Le code card sono state ritirate in quanto non sicure e invece di quelle Smart-ID è stata promossa l'autenticazione.
Se utilizziamo Smart-ID per accedere, ora dobbiamo:
- Scrivi / copia il nostro numero di conto bancario
- Inserisci il PIN 1 (codice a 4 cifre, generato in modo casuale durante la creazione dell'account, può essere modificato) sulla nostra app Smart-ID per l'autenticazione
Per autenticare una transazione, dobbiamo inserire il PIN 2 (codice a 5 cifre).
Il link del pensiero alla descrizione dell'app sarebbe pertinente.
link
Per quanto mi riguarda, per l'attaccante ottenere l'accesso al conto bancario una volta è sufficiente. Tutto il denaro è preso, l'utente va in banca per modificare le impostazioni di sicurezza che hanno - indipendentemente, se si tratta di carte codice o pin Smart ID. Ai miei occhi, cosa è cambiato:
- L'attaccante ha bisogno di imparare due password molto brevi, a cifre, invece di una utente generata
- L'attaccante deve ottenere l'accesso fisico al telefono con l'app anziché con la scheda di codice.
Quindi la domanda è: in che modo l'utilizzo di un'app per l'autenticazione migliora la sicurezza rispetto all'utilizzo di una scheda di codice?