¿Es realmente más seguro un token de "clave segura" para autenticarse en la banca online?

Question

Tengo una de esas llaves seguras que tengo que usar para entrar en mi cuenta bancaria. Es extremadamente molesto, y hace que la banca móvil sea incómoda. Así que quiero saber si vale la pena.

La clave, una vez que he puesto un PIN, genera un número, que la web del banco (de alguna manera, mágicamente) ya conoce y acepta.

Tiene el tamaño de una cartera y está diseñado para ir en ella, junto con la tarjeta, y el trozo de papel de plástico que me dieron con mi nombre de usuario para la banca en línea también está diseñado para ir en la cartera.

Si pierdo mi cartera o me la roban, y si el usuario conoce mi PIN (aún así necesitaría saber el PIN si no tuviera una tarjeta de clave segura), seguramente podrá acceder al dinero de la cuenta a través de un cajero automático y por Internet.

Mientras que sin el sistema de tarjeta de claves seguras, tengo que recordar un número y luego introducir ciertos dígitos del mismo para iniciar la sesión. Como esto está en mi cerebro nadie puede robarlo físicamente.

¿Qué hace que este nuevo sistema basado en fichas sea más seguro?

Answer 1

Sí, es sustancialmente más seguro que un simple pin o contraseña. Esto se debe a que, además de conocer el pin (y el nombre o número de cuenta), requiere la posesión del dispositivo de "llave segura" para poder acceder.

En un sistema sin este dispositivo, todo lo que se necesita para acceder es el conocimiento (por ejemplo, del nombre de usuario y el pin). Este conocimiento puede ser adquirido por los delincuentes de diferentes maneras, muchas de ellas automatizadas y que no requieren el contenido de su cartera. Por ejemplo, un ordenador que utilices en un hotel podría tener un "registrador de teclas" que registra lo que usted teclea cuando utiliza el ordenador para acceder a su cuenta bancaria. Se han dado varios casos en los que se han copiado los pines y números de las tarjetas de débito a partir del simple uso normal de un terminal (comprometido) para pasar la tarjeta por un comercio o un cajero automático. Hay muchos otros métodos nefastos, como el "ataque del hombre en el medio" .

Con un sistema como el que usted describe, esos intentos de los delincuentes fracasan porque no tienen acceso al dispositivo de "clave segura" y, por tanto, no pueden dar con los números secretos siempre cambiantes que genera el dispositivo.

Answer 2

El objetivo de la autenticación de dos factores sobre el factor único para la banca en línea es el siguiente:

Factor único (nombre de usuario y contraseña)

Un atacante requiere muy poco esfuerzo para obtenerlas (esto puede ser a través de un troyano, un ataque de hombre en el medio, un keylogger, etc.) y una vez que los tienen, pueden iniciar sesión o realizar transacciones desde su cuenta. Pueden hacer esto días después, o repetidamente.

Dos factores (nombre de usuario, contraseña, token)

Cuando tecleas tu pin en el token, el número generado es conocido sólo lo conocen usted y el ordenador del banco, y sólo es válido durante un breve periodo de tiempo (normalmente 30 segundos). Un atacante que tenga el mismo acceso que antes y que tenga la misma antes y que haya cogido ese número enviado al banco ahora tendría tendría que realizar su ataque en esa ventana de 30 segundos .

Lo que hacen algunos bancos es añadir otro factor: además del PIN que se teclea en el dispositivo, el sitio web da otro número que se teclea en el dispositivo, y cuando éste emite un nuevo número se vuelve a teclear en el sitio web. Esto no sólo elimina la ventana de 30 segundos para el atacante, sino que también elimina la capacidad de un atacante para cambiar el destinatario del pago.

tl;dr - sí, es molesto, pero ayudará a evitar que te roben

Answer 3

Puede leer sobre esta tecnología en Wikipedia aquí . Hay muchas variaciones de este mismo concepto.

La respuesta corta a su pregunta es: Sí, es más seguro.

La respuesta más larga, como sugieres, es que la seguridad depende del uso adecuado de la tecnología. Un mal uso de la tarjeta de claves, junto con un PIN débil, podría conducir a una menor seguridad.

La principal ventaja del doble factor de autentificación no es que impida que alguien te robe el PIN del cerebro, sino que hace que adivinar tu PIN (o ver cómo lo introduces) no tenga ningún valor.