Veo en The Register y en ZDNet como el Barclays Bank se dispone a adoptar un novedoso sistema de seguridad para transacciones online basado en el empleo de dos factores de autenticación, convirtiéndolo en uno de los bancos más innovadores y punteros en este sentido. El banco distribuyó el pasado Julio entre cinco mil clientes británicos un lector de tarjetas autónomo no conectado al ordenador, que genera una clave de doce dígitos en sincronía con un servidor central, y válida para una sola transacción. La tecnología está desarrollada por nCipher.
Para explicar en clase los factores de la seguridad suelo recurrir a las categorías “algo que sabes” (una clave, contraseña o dato determinado), “algo que tienes” (una tarjeta con banda física, un generador de contraseñas, un token) y “algo que eres” (tu huella dactilar, tu iris, las venas de tu muñeca). En este caso, el Barclays ha decidido suplementar las claves que el usuario simplemente sabe, pero que otro puede leer mediante sistemas de múltiples tipos (phishing, pharming, lectores de teclado, etc.) con un sistema que el usuario tiene que tener, añadiendo así un nivel adicional a la seguridad muy dificil de superar. Añadir un tercer nivel exigiría dotar a los usuarios de hardware capaz de leer algún tipo de aspecto biométrico, una opción que seguramente fue considerada.
La decisión me recuerda el lanzamiento de la American Express Blue en los Estados Unidos, que traía en el kit inicial un lector que hacía necesario que la tarjeta estuviese insertada en él para poder llevar a cabo la transacción. El artilugio añadía el requisito de la presencia física de banda y proporcionaba un nivel adicional de seguridad, pero el envío de la información podía seguir siendo capturado y clonado, o introducido por error en una página falsa. En este caso, el uso de un generador de contraseñas de tipo token en el que debe introducirse la tarjeta (son necesarios ambos objetos, lector y tarjeta), pero que permanece separado físicamente del ordenador para evitar la intercepción de la secuencia, y que produce además una clave para cada uso mejora sensiblemente el sistema que en su momento adoptó en pruebas American Express.
10.08.2006 a las 06:16 Permalink
Quizá me haya perdido algún detalle, pero con este sistema sigue siendo posible montar un ataque de hombre en el medio:
Primero, envío al usuario un correo invitándole a que se conecte al banco pero, en realidad, dirige al usuario a un sitio maligno idéntico al banco. El sitio maligno se conecta a su vez con el banco y extrae cualesquiera datos que se pidan al usuario. El sitio maligno pide dicha información al usuario.
El usuario utiliza su novedoso sistema de seguridad de 11 dígitos y se lo suministra al sitio maligno el cual, a su vez, se lo suministra al banco real, tal y cómo el usuario debiera haber hecho. El usuario puede operar, a través del sitio maligno, y dicho sitio maligno puede invocar, además, transacciones adicionales.
Es decir, los sistemas OTP (contraseña de único uso) sólo son efectivos si el usuario está seguro de estar suministrando esa contraseña al sistema final, y no a un tercero (proxy).
10.08.2006 a las 07:24 Permalink
La caixa ya añadió el “algo que tienes” a la seguridad informatica para la banca on-line. Sería muy largo de explicar pero en vez de la solución del barclays ha distribuido una tarjeta con claves que solicita para determinadas operaciones de la banca on-line.
ademas, para evitar el rastreo del teclado, tienes que marcar el codigo de la tarjeta con el ratón sobre un teclado en pantalla y con los números desordenados cada vez.
es un sistema sencillo, comodo y que hace que el usuario perciba un nivel suficiente de seguridad.
un saludo y gracias por el blog.
manuel.
10.08.2006 a las 10:29 Permalink
Yo soy usuario de “El Monte” caja de ahorros de Sevilla y también usan un sistema parecido a ese de barclays y al de la caixa. Es una tarjeta personal con un n?º de identificación y con una serie de filas y columnas con dígitos. Para ciertas operaciones te solicitan los díticos correspondientes a la casilla “b6″ (por ejemplo) y ya está.
10.08.2006 a las 11:16 Permalink
El sistema de OTP, como bien indican arriba también es susceptible de ser comprometido.
Las primeras pruebas de phishing a entidades con token ya se han extendido.
Por ejemplo, al Citibank, que cuenta con token y hay phishing cirulando.
El doble factor físico añade seguridad, pero no un excesivo nivel mas,a digamos, la típica tarjeta de coordenadas.
10.08.2006 a las 11:16 Permalink
Para las OTP, nada como el ataque escandinavo. Los usuarios siempre se superan a si mismos.
Ya hay muchos bancos con sistemas de autentificacion de dos factores. En Bancaja, por ejemplo, para determinadas operaciones se pide un codigo de confirmacion que se envia al movil del usuario (algo que el tiene). No es exactamente una atentificacion de dos factores pero casi casi.
De todos modos la tendendia es aguantar con lo que sea hasta la implantacion del DNI digital.
10.08.2006 a las 13:32 Permalink
Soy usuario de Barclays y ya usa la trajeta de coordenadas + teclado que cambia y se mueve.
He estado leyendo el articulo y me despista un poco parece que el lector lee un chip y mi tarjeda de barclays es de banda magnetica :-)
Saludos
10.08.2006 a las 16:27 Permalink
Yabu.
Al DNI digital ya le han salido problemas antes de ser realidad.
Consciente de la relativa facilidad de intercepción de claves, en cuestiones financiera uso el “antiguo” teléfono para este tipo de operaciones y evito las comunicaciones informáticas siempre que puedo.
Hasta ahora no me causa transtorno alguno. Las consultas si las hago casi todas en la web.
Lo de la tarjeta de claves ya hace muchísimo tiempo que la utilizan distintos bancos.
10.08.2006 a las 21:34 Permalink
En Mexico, Banorte entrega a sus clientes un token que genera claves que son válidas por sólo un minuto, este token es único por usuario y a su vez esta sincronizado con un servidor central para permitir validar la llave.
Al conectarte debes introducir tu usuario, contraseña y la llave, siempre y cuando la llave sea aún válida durante el minuto. Bastante seguro y esta funcionado desde hace unos 8 meses.
11.08.2006 a las 18:23 Permalink
Los sistemas OTP son muy antiguos, o sea que no se puede decir que utilizarlos sea un indicio de innovación. La primera empresa que basó su modelo de negocio en suministrarlos fue Security Dynamics, que acabó comprando RSA y adoptando su nombre.
06.09.2006 a las 09:28 Permalink
por favor. osea, que ponemos un dibujo para evitar que el usuario nos haga pharming? pero si es todo javascript!!!
1.- cogemos la correspondencia (numero letra) si existe (viene en un vector de javascript).
2.- cogemos el dibujo.
si alguien puede leer el teclado puede leer los clicks ó coger el vector escrito en javascript.
lo del dibujo y el raton no añade seguridad señores. es un bluff para usuarios atontados.