Comentarios en: Doble autenticaci�n en banca a distancia basada en EMV

Por: Autenticar transacciones, no a las personas » Sergio Hernando

Autenticar transacciones, no a las personas » Sergio Hernando — Tue, 20 Oct 2009 21:24:54 +0000

[...] imposible, pero no lo es. Una manera de abordar el problema ya la documentamos recientemente, empleando autenticadores EMV. Pero hay una manera mucho m�s sencilla y econ�mica de dificultar al m�ximo los quebrantos en [...]

Por: Sergio Hernando

Sergio Hernando — Tue, 29 Sep 2009 17:25:10 +0000

Antonio,

Gracias por comentar la inciativa de Caja Extremadura. Est�n haciendo cosas interesantes en cuanto a tecnolog�a, y la verdad, este proyecto es digno de ser aplaudido.

No obstante yo no ser�a tan categ�rico al decir que ser� imposible un “man-in-the-middle”, ya que siempre se puede desarollar malware que intercepte comunciaciones con el servidor de aplicaciones de banca a distancia. Es poco probable, y m�s siendo Caja Extremadura, ya que los creadores de malware suelen apostar por las entidades mayores, pero imposible no creo que sea.

Un saludo,

Por: Antonio

Antonio — Tue, 29 Sep 2009 08:47:45 +0000

En Caja extremadura desde hace unos meses tienen el Token EMV, para autenticarse y para firmar operaciones donde se tenga trassapaso de fondos, es muy seguro, te olvidas de anti-virus y puedes hacer tus transferencias en ciber, salas wifi aeropuertos con toda confianza, la clave de usar y tirar es la soluci�n, adem�s puedes firmar el token con retos para que sea imposible utilizar la tecnica “hombre en medio”.

Un saludo.

Por: Tweets that mention Doble autenticación en banca a distancia basada en EMV » Sergio Hernando -- Topsy.com

Sun, 27 Sep 2009 18:47:00 +0000

[...] This post was mentioned on Twitter by Sergio Hernando and Alejandro Rodriguez. Alejandro Rodriguez said: Doble autenticación en banca a distancia basada en EMV. http://bit.ly/YzXsg [...]

Por: Sergio Hernando

Sergio Hernando — Sun, 27 Sep 2009 16:34:01 +0000

Hola Felipe,

Gracias por comentar tu caso. Yo tambi�n creo que no es buena idea usar DNI/otros documentos oficiales en servicios privados, pero obviamente esta soluci�n es atractiva para los prestadores de servicios financieros, ya que no hay que invertir en emitir pl�sticos, puesto que el DNI es algo que negocia (y paga) el ciudadano a la Administraci�n. Te puedes limitar a financiar la adquisici�n de lectores, o esperar a que vengan de serie en los equipos si no eres un primer adoptante de tecnolog�a. O incluso esperar a que sea el cliente el que se compre su propio lector :)

En otras palabras, que es una soluci�n menos costosa. Algo me dice que en muchos casos por aqu� ir�n los tiros.

Un saludo,

Por: Felipe Alfaro Solana

Felipe Alfaro Solana — Sun, 27 Sep 2009 14:27:25 +0000

Con respecto al tema de usar el DNI electr�nico para autentificar el acceso a banca, no estoy seguro de que sea una buena idea.

Centralizar la validaci�n de la identidad en un �nico dispositivo es una mala idea en mi opini�n. Prefiero tener bien separados los mecanismos que me identifican ante mi banco de otros mecanismos, includidos aquellos usados por la administraci�n p�blica. La raz�n es muy sencilla: no pongas todos los huevos en la misma bandeja. Si alg�n d�a se encuentra una forma de romper el DNI electr�nico (cosa que me parece bastante probable dada la forma en la que se ha desarrollado y se est� implantando), al menos que eso no comprometa autom�ticamente todas mis credenciales.

En ejemplo: nunca llevo todas mis tarjetas de cr�dito conmigo en la cartera :)

Por: Felipe Alfaro Solana

Felipe Alfaro Solana — Sun, 27 Sep 2009 14:23:58 +0000

UBS en Suiza dota a todos sus clientes de un sistema parecido, basado en autentificaci�n en dos pasos mediante un lector y una tarjeta. El sistema es algo m�s sencillo que el que describes aqu� y s�lo sirve para generar tokens de �nico uso para iniciar la sesi�n (desaf�o/respuesta). Por ende, es susceptible a lo que indica Schneier en http://www.schneier.com/blog/archives/2009/09/hacking_two-fac.html.