Quanto è sicura un'app di autenticazione e-banking mobile che richiede una scheda NFC più un pin per autenticare l'utente?

1

Molte banche in questi giorni offrono servizi bancari online (in un browser web). Per aumentare la sicurezza, la maggior parte delle banche richiede un accesso standard con un nome utente (numero di conto) e una password, oltre a un codice che viene inviato al cellulare per autenticare a due fattori il login e / o qualsiasi transazione.

Sto pensando di passare a una banca che utilizza uno schema diverso: per accedere online (ad esempio dal tuo computer di casa), è sufficiente il numero del tuo account (non è necessaria alcuna password). La banca quindi fornisce una sfida (poche cifre), che è necessario quindi inserire in un'app dedicata per telefono cellulare. Per aumentare la sicurezza, l'app richiede di tenere una carta fisica (con un chip) sul telefono (che suppongo utilizzi NFC) e di "sbloccare" la carta con un pin (noto solo a te), che digiti nel tuo telefono. Se il pin è corretto (corrisponde al pin della scheda), il telefono digiterà le cifre della sfida in un passcode, che verrà quindi inserito nel browser web. Questo ti dà quindi accesso alla piattaforma di banking online. La stessa procedura viene utilizzata quando si tenta di emettere una transazione.

Ho trovato un comunicato stampa da quando questa tecnologia è stata sviluppata qui . L'articolo non dice molto sulla sicurezza, però.

Mi chiedo quanto è sicuro. Supponiamo di avere un utente malintenzionato in grado di compromettere completamente il mio telefono a livello di root (alcuni exploit saltano di tanto in tanto che consentono questo, quindi non è inaudito). Quindi, presumiamo che l'attaccante possa intercettare tutto ciò che scrivo sul telefono e può monitorare tutto ciò che fa ogni app sul telefono (compresi gli accessi alla memoria). Assumeremo inoltre che l'attaccante conosca il numero del conto bancario e a chi appartiene, ma non ha accesso fisico alla carta o al chip su di esso.

Se ora usassi questa app e avessi attivato l'NFC della carta e inserito il pin, l'attaccante sarebbe in grado di copiare tutto ciò di cui aveva bisogno dalla carta al telefono, permettendogli così di autenticarsi (in futuro senza la carta) e ottenere l'accesso completo al mio conto bancario?

O mi sbaglio nel preoccuparmi e la lettura dalla scheda cambia il suo stato in un modo che è imprevedibile per il dispositivo di lettura, assicurando che anche se mi autentichi più volte su un telefono compromesso, l'autore dell'attacco avrebbe comunque bisogno di un accesso fisico alla carta stessa prima che possa fare danni?

    
posta Mark Anderson 19.07.2017 - 16:22
fonte

1 risposta

0

Solitamente le schede NFC, come i pagamenti con tessera EMV, utilizzano la crittografia asimmetrica per una richiesta di autenticazione e una risposta, e la carta ha una chiave privata univoca che non viene mai pubblicata da nessuna parte. Supponendo che questo è come funziona nella tua situazione, e la banca non autorizza tutti i telefoni quando solo uno fornisce una risposta corretta dovrebbe andare bene. Per illustrare:

L'attaccante ruba il tuo telefono e non la scheda NFC. Quindi ottieni un nuovo telefono e installa la stessa app. Diciamo nel peggiore dei casi che il codice che la banca invia sia per la tua e-mail e che l'utente malintenzionato abbia accesso alla tua e-mail. Con il tuo nuovo telefono si richiede un accesso. L'utente malintenzionato vede l'email e tenta di accedere. La banca richiede quindi a entrambi i dispositivi di utilizzare la scheda NFC per rispondere a una sfida. Hai successo e l'attaccante no. La banca autorizza solo la sessione sul telefono.

Questo dovrebbe essere sicuro finché la banca mantiene chiaramente le sue sessioni correttamente. E supponendo che la scheda NFC utilizzi effettivamente uno schema sicuro per generare e caricare chiavi private, la scheda nfc non può essere duplicata (a meno di ottenere accesso fisico e dissimulazione degli IC o eseguire un DPA di successo che a mio avviso è improbabile su un NFC) chip perché l'interferenza EM).

Personalmente utilizzerei questo schema per accettare di tenere insieme le mie carte e il mio cellulare!

    
risposta data 19.07.2017 - 22:19
fonte

Leggi altre domande sui tag