web-dev-qa-db-fra.com

applications bancaires sécurisées

Il y a quelque temps, ma banque a introduit une application de banque en ligne. Cela m'a permis d'accéder rapidement à mon compte bancaire et d'effectuer des paiements directement depuis mon téléphone avec la meilleure expérience. Afin d'accéder à l'application, vous devez entrer un code PIN à 5 chiffres.

enter image description here

Cela ne me semblait cependant pas aussi sûr. Je suis un utilisateur passionné des services bancaires en ligne et je le fais normalement sur mon ordinateur portable via le site Web normal. Pour me connecter, j'ai besoin d'un nom d'utilisateur et d'un mot de passe. Lorsque je fais un paiement, je suis invité à entrer un soi-disant code TAN. Ce code que je peux obtenir à partir d'une copie papier, une liste de codes que je pourrais garder dans un tiroir à la maison. Cependant, afin de rester mobile, j'ai activé l'option pour que ces codes me soient envoyés par SMS. Je fais donc un paiement, je reçois un SMS avec un code, j'entre le code sur mon portable et le paiement est effectué. L'application bancaire demande également un code, mais les paiements sont désormais effectués sur le même appareil. Les gens n'ont désormais besoin que de mon téléphone, de la broche à 5 chiffres et ils sont prêts à vider mon compte bancaire. Dans l'ancienne situation, mon téléphone pouvait être utilisé pour accéder au site Web des services bancaires en ligne et recevoir le SMS, mais ils auraient besoin d'un nom d'utilisateur ET d'un mot de passe pour se connecter. Je n'utilise donc pas l'application.

Peut-être que je me trompe en pensant qu'une broche à 5 chiffres n'est pas aussi sécurisée qu'une combinaison de nom d'utilisateur et de mot de passe, mais je me suis demandé: quelle est l'option la plus sécurisée qui a toujours un haut niveau d'utilisation? Ou comment que ce soit fait?

usabilitysecuritymobile-applicationonline-banking
5
Paul van den Dool

Une authentification à un seul facteur (généralement avec "quelque chose que vous savez", généralement un mot de passe) n'est pas particulièrement sécurisée.

Pour les opérations bancaires, il est courant d'utiliser des méthodes d'authentification à deux facteurs avec "quelque chose que vous savez" et "quelque chose que vous avez", traditionnellement une combinaison d'une carte en plastique que vous avez et d'un PIN vous savez . Les anciennes formes de services bancaires en ligne utilisent des listes de TAN, et "quelque chose que vous avez" est la liste papier. Théoriquement, on pourrait affirmer qu'un TAN est quelque chose que vous pouvez savoir, mais dans la pratique, personne ne porte une liste de 100 TAN mappés à leur numéro courant dans leur tête.

Les opérations bancaires en ligne plus récentes reposent sur le fait que la plupart des gens ont un smartphone et utilisent le smartphone comme "quelque chose que vous avez". Benny Skogberg a décrit une façon de procéder. Ce que ma banque fait, c'est de me permettre d'enregistrer un numéro de mobile avec eux, puis d'envoyer un mTAN valable pour une seule transaction à ce numéro via SMS. Cela peut être plus sûr qu'un facteur unique, mais ce n'est pas infaillible.

Le problème est aussi ancien que la sécurité elle-même: deux facteurs sont toujours plus compliqués qu'un seul facteur et la convivialité est moindre. Un seul facteur n'est pas particulièrement sûr et se casse fréquemment lorsque le voleur a la bonne motivation (comme avoir accès à un compte bancaire ou à la boîte de réception d'une célébrité). Il existe des centaines de façons de mettre en œuvre une sécurité à deux facteurs appropriée, et la plupart d'entre elles auront la même facilité d'utilisation que votre liste de mots de passe en ligne plus TAN. Aucune variation pour mobile ne peut avoir une convivialité plus élevée et rester sécurisée, par définition, car pour un double facteur:

  • vous devez avoir un élément physique qui ne peut pas être dupliqué. Vous devez l'avoir avec vous chaque fois que vous souhaitez y accéder.
  • vous devez avoir une information impossible à deviner avec une entropie élevée ET elle ne peut pas être écrite ou enregistrée à proximité de votre élément physique.

Ainsi, vous devrez toujours faire face à l'effort cognitif de se souvenir d'un long mot de passe ou transporter une note chiffrée sur un appareil de prise de notes différent de l'appareil que vous utilisez comme facteur "quelque chose que j'ai". Les deux versions sont peu utilisables et très sécuritaires.

Exemples de l'insécurité des systèmes modernes à presque deux facteurs:

  • Il devient un facteur si le navigateur du téléphone enregistre les mots de passe, qui est le paramètre par défaut, ou s'il existe une application bancaire qui ne nécessite pas de PIN lors du démarrage sur un téléphone enregistré (qui peut être le cas dans l'exemple de Benny Skroberg - je n'ai pas obtenu ce détail. Imaginez qu'un voleur vole mon téléphone, le déverrouille en regardant les taches que mon doigt a laissées sur l'écran tactile et démarre le navigateur. Si mon site de banque en ligne se trouve dans le l'historique et le mot de passe sont enregistrés, le mTAN est envoyé au téléphone que le voleur tient.

  • Il y a eu des cas en Allemagne l'année dernière où des fraudeurs ont demandé une deuxième carte SIM avec le même numéro de téléphone au fournisseur de téléphonie mobile de la victime et l'ont fait livrer à leur propre adresse. Ils pourraient ensuite effectuer des opérations bancaires en ligne à partir du compte de la victime en utilisant un téléphone avec cette deuxième carte SIM comme facteur "quelque chose que j'ai" (ils ont obtenu le mot de passe par le phishing, les chevaux de Troie et d'autres méthodes courantes). Cela fonctionne parce que le fournisseur de téléphonie mobile accepterait une demande envoyée par télécopie pour une deuxième carte SIM sans rien faire pour s'assurer qu'elle provenait du propriétaire légitime du contrat de téléphonie mobile. Les victimes n'ont jamais rien remboursé, car la banque a déclaré que le fournisseur de téléphonie mobile était responsable et le fournisseur de téléphonie mobile a déclaré que la banque était responsable.

Soit dit en passant, l'ancien système TAN sur papier ne serait pas non plus sécurisé pour les mobiles, car si vous transportez une liste de TAN dans votre portefeuille, il y a de fortes chances que celui qui vole votre téléphone obtienne également votre portefeuille.

Malheureusement, si vous voulez avoir quelque chose de raisonnablement sûr, vous devrez renoncer à beaucoup de convivialité. Les banques semblent plutôt prêtes à accepter un compromis en matière de sécurité.

Addition: il y a en fait trois facteurs possibles, pas deux. Le troisième est "quelque chose que vous êtes". Bien qu'il soit considéré comme plus sécurisé, car il ne peut pas être reproduit comme "quelque chose que vous savez", il n'y a pas de méthodes commercialement viables pour une utilisation dans des paramètres automatisés avec la technologie d'aujourd'hui. Certaines solutions ont été perdues en tant que technologie de niche pendant des années et pourraient encore se généraliser une fois qu'elles auront atteint une maturité suffisante pour être largement acceptée, comme l'ont fait les tablettes électroniques. Par exemple, j'ai vu des lecteurs d'empreintes digitales dans la nature. Mais ils ne sont pas seulement chers, ils ne sont pas non plus assez précis. Les systèmes de reconnaissance faciale sont également connus pour les faux positifs (montrez une photo imprimée de votre victime à la caméra) et les faux négatifs (imaginez vous réveiller avec le visage gonflé en raison d'une infection du canal radiculaire et ne pas pouvoir vous connecter au système hautement sécurisé). -parce que le système de protection de la vie privée de votre fournisseur de soins de santé). Les technologies d'empreintes digitales vocales sont également faciles à tromper avec les enregistrements et vous refuseront l'entrée si vous attrapez un rhume sévère. Actuellement, il faut qu'une personne vivante confirme votre identité en regardant la photo de votre pièce d'identité. Nous sommes probablement coincés avec les deux autres facteurs pour les services bancaires en ligne pendant de nombreuses années, ce qui est triste, car un lecteur d'empreintes digitales est beaucoup plus utilisable que d'avoir à prendre soin d'une carte en plastique ou d'un fob pour la génération de jetons uniques (qui est la version moderne et sécurisée des TAN de la liste papier).

2
Rumi P.

Je ne sais pas si la solution suivante est "l'option la plus sécurisée", mais elle est sécurisée et utile.

Téléphone

Tout commence avec votre téléphone et votre numéro de téléphone. Il doit être enregistré comme le vôtre et il doit être enregistré dans votre banque . Afin d'enregistrer votre numéro de téléphone à la banque, vous les appelez sur le même téléphone et ils vous posent des questions que vous seul pouvez connaître. Quel est votre solde actuel sur votre compte de transfert, économisez-vous quelque chose en fonds ou en stock? De quels fonds disposez-vous? Quel est votre numéro d'identification personnel? Ces choses doivent être répondues avant de pouvoir ajouter votre téléphone à votre banque.

Fournisseur d'identité tiers

Lorsque votre téléphone est enregistré et que l'application bancaire est téléchargée, vous visitez le site Web de la banque pour télécharger une autre application auprès du fournisseur d'identité tiers, Bank ID . Cet identifiant bancaire vous identifie et identifie la banque. Vous pouvez également utiliser cet identifiant bancaire sur d'autres banques, mais il sécurise l'identité de votre identité auprès de votre banque. Si cette identité n'est pas fournie, vous n'êtes pas autorisé à entrer dans la banque via l'application bancaire.

enter image description here  ID banque

Restrictions de compte

Vous avez la possibilité de définir des restrictions de mouvement sur votre compte, qui ne peuvent être mises à jour que mensuellement. Vous pouvez autoriser le mouvement dans une certaine partie du monde/pays. Vous pouvez également définir l'allocation sur le transfert de montant autorisé via l'application bancaire vers un compte externe. Tout est réglé par vous pour que le jugement soit adapté à votre profil. L'option de paiement Internet fait également partie des paramètres que vous contrôlez.

enter image description here  Betala räkning est Pay Bill en anglais.

Alerte de mouvement inhabituel

L'été dernier, nous sommes allés à Majorque, en Espagne, pour une semaine bien méritée tout compris. Au premier paiement par carte de crédit, j'ai reçu un appel de la Banque 15 minutes plus tard. "Nous avons enregistré que votre carte de crédit a été utilisée à Majorque, en Espagne. Cela ne correspond pas à votre mode de paiement habituel, et nous voulons simplement nous assurer que vous y avez utilisé votre carte et qu'il ne s'agit pas de vider votre compte" .

Avec ce service tous ensemble, je me sens très en sécurité en utilisant les services bancaires par ordinateur, application et carte de crédit.

3
Benny Skogberg

Décider du fonctionnement d'une technologie complexe sur la base d'une analyse au niveau de la surface (interface) est susceptible de produire des résultats extravagants. Surtout en matière de sécurité, car les mécanismes de sécurité ont une contrainte par laquelle ils ne divulguent idéalement pas leur fonctionnement interne. Donc, vous sentez qu'un code PIN n'est pas sûr - mais vous ne savez pas ce qui se passe sous le capot, votre affirmation est au mieux basée sur une probabilité impliquant une supposition de 5 chiffres.

J'ai conçu et mis en œuvre l'un des mécanismes d'authentification par code PIN les plus anciens pour l'application mobile d'une grande banque - ce faisant, j'ai travaillé en étroite collaboration avec l'équipe de sécurité, qui préférait le mécanisme de code PIN (qui se passait beaucoup plus sous le capot que vous ne le pourriez). pensez) à l'authentification par nom d'utilisateur/mot de passe. Pourquoi? Parce qu'il y avait beaucoup plus de choses (crypto smarts) sous le capot.

Maintenant, en utilisant votre approche, si vous conseilliez une autre banque sur la façon de réaliser un mécanisme d'authentification par code PIN similaire et que votre conseil est basé uniquement sur votre analyse de l'interface d'une autre application bancaire: vous manquerez beaucoup de détails et pourriez mener votre client à implémenter une solution naïve (c'est-à-dire qui utilise simplement un code à 5 broches comme secret unique pour accéder à un compte). Ce système ne pourra gérer que 2 ^ 5 utilisateurs et se rapprocher de ce nombre d'utilisateurs rendrait la probabilité de deviner une broche extrêmement élevée. Ça ne marche pas comme ça.

Pour un exemple de la multitude de choses qui peuvent et devraient se produire sous le capot concernant l'authentification: https://security.stackexchange.com/a/13351/8846

0
straya