L'identificazione con le carte bancarie NFC è fattibile?

0

Immagina di voler identificare gli utenti in modo più sicuro rispetto all'uso di nome utente / password, ad es. un token hardware. Tuttavia, non posso emettere loro smartcard. È una buona idea provare a utilizzare carte bancarie abilitate NFC a tale scopo, ad es. con il seguente flusso (nota: questo non esegue alcuna transazione, in quanto non va a nessun gateway emittente di carte):

  1. L'utente dovrebbe avere un'app per smartphone specifica installata
  2. L'utente richiede di accedere in un sito web
  3. L'utente è invitato a presentare la scheda contactless al telefono con l'app aperta (o l'applicazione viene automaticamente aperta al contatto NFC)
  4. L'utente presenta la carta ed è richiesta per il PIN, che digita nell'app
  5. L'app ha ottenuto una sfida una tantum dal server, che invia alla carta
  6. La carta firma la sfida
  7. La sfida firmata e un numero di carta di credito trasformato (ad esempio utilizzando bcrypt) vengono inviati al server
  8. Il server corrisponde al numero trasformato (che funge da identificatore) per l'utente che ha richiesto l'accesso da un browser, verifica la sfida firmata utilizzando la chiave pubblica della carta e lo lascia all'utente.

Se ciò non sembra troppo assurdo, alcune domande di follow-up:

  1. La dimensione della chiave delle carte bancarie è abbastanza grande?
  2. Il protocollo EMV consente di firmare una sfida in questo modo (so che fa come parte di un flusso di transazioni, ma potrebbero esserci alcuni avvertimenti)
  3. Può essere creata un'app per uso generico (Android / iOS), oppure le carte presentano variazioni significative nelle loro implementazioni EMV
  4. I keypair EMV hanno certificati X.509 corrispondenti emessi da qualche CA? E i certificati revocati possono essere controllati?
posta Bozho 18.11.2017 - 16:44
fonte

1 risposta

1

L'unica cosa a tua disposizione tramite una carta bancaria senza contatto è un numero ID (della carta). Per ottenere di più, devi seguire le linee guida e la sicurezza appropriate delle carte contactless.

Ciò significa che, mentre è possibile ottenere l'ID della carta, non è possibile formulare ulteriori ipotesi. Certamente non fornisce molta sicurezza.

Detto questo, ci sono un sacco di applicazioni che usano questo metodo. Il più comune è la stampa "follow-me" e i sistemi di prenotazione delle camere (quelli con schermi all'esterno delle stanze). Entrambi questi tipi di sistema usano comunemente i dati minimi della carta. Registrate la vostra carta contro il vostro id utente. Questo va bene poiché i rischi di compromissione sono molto bassi.

Come sempre, si tratta di un'analisi dei rischi.

    
risposta data 24.11.2017 - 22:33
fonte

Leggi altre domande sui tag