jueves, 25 de noviembre de 2004

Autenticación de doble factor utilizando teléfonos móviles.

El entorno de la Banca on-line empieza a estar bastante preocupado por los nuevos riesgos que han empezado a surgir entorno al uso de estos servicios. El principal esfuerzo de las entidades bancarias ha sido, hasta la fecha, principalmente proteger sus sistemas de información y posteriormente, proteger la confidencialidad e integridad del canal de comunicaciones utilizado. Básicamente las medidas de seguridad adoptadas es el uso de Autenticación de Servidor utilizando certificados digitales, que consigue la conexión segura mediante el protocolo SSL.

Como siempre, el atacante dirige su esfuerzo hacia el eslabón más debil y en este caso, el objetivo de los ataques es el PC del cliente de banca, que está fuera de control de la Entidad bancaria y que suele estar mal protegido.

Amenazas como el phising, scam o los virus y troyanos con keyloggers tienen como victima a ese pobre e ingenuo usuario al que mediante ingeniería social se le consigue engañar facilmente.

El objeto de comentario del Blog de Bruce Schneier es el anuncio por parte de un Banco Australiano del uso de teléfonos móviles para proporcionar autenticación de doble factor.

Hasta la fecha, la autenticación se basa en contraseñas (algo que se sabe). La novedad es que este banco, para transferencias que superen cierta cantidad va a enviar un SMS al cliente con una segunda contraseña de operación. En este caso, la autenticación se basa en password (algo que se sabe) y el móvil (algo que se tiene).

La bondad del método es que es sencillo, no implica complejidad para el usuario, es fácil de implementar y eficiente respecto a la seguridad que proporciona.

Bueno, bonito y barato, y encima el usuario lo entiende bien y no supone un gran esfuerzo u obstaculo su uso, o sea, perfecto.




Schneier on Security: Two-Factor Authentication with Cell Phones
 
;