Barclays y la seguridad
Por Enrique Dans
Veo en The Register y en ZDNet como el Barclays Bank se dispone a adoptar un novedoso sistema de seguridad para transacciones online basado en el empleo de dos factores de autenticación, convirtiéndolo en uno de los bancos más innovadores y punteros en este sentido. El banco distribuyó el pasado Julio entre cinco mil clientes británicos un lector de tarjetas autónomo no conectado al ordenador, que genera una clave de doce dígitos en sincronía con un servidor central, y válida para una sola transacción. La tecnología está desarrollada por nCipher.
Para explicar en clase los factores de la seguridad suelo recurrir a las categorías "algo que sabes" (una clave, contraseña o dato determinado), "algo que tienes" (una tarjeta con banda física, un generador de contraseñas, un token) y "algo que eres" (tu huella dactilar, tu iris, las venas de tu muñeca). En este caso, el Barclays ha decidido suplementar las claves que el usuario simplemente sabe, pero que otro puede leer mediante sistemas de múltiples tipos (phishing, pharming, lectores de teclado, etc.) con un sistema que el usuario tiene que tener, añadiendo así un nivel adicional a la seguridad muy dificil de superar. Añadir un tercer nivel exigiría dotar a los usuarios de hardware capaz de leer algún tipo de aspecto biométrico, una opción que seguramente fue considerada.
La decisión me recuerda el lanzamiento de la American Express Blue en los Estados Unidos, que traía en el kit inicial un lector que hacía necesario que la tarjeta estuviese insertada en él para poder llevar a cabo la transacción. El artilugio añadía el requisito de la presencia física de banda y proporcionaba un nivel adicional de seguridad, pero el envío de la información podía seguir siendo capturado y clonado, o introducido por error en una página falsa. En este caso, el uso de un generador de contraseñas de tipo token en el que debe introducirse la tarjeta (son necesarios ambos objetos, lector y tarjeta), pero que permanece separado físicamente del ordenador para evitar la intercepción de la secuencia, y que produce además una clave para cada uso mejora sensiblemente el sistema que en su momento adoptó en pruebas American Express.
Fuente: http://edans.blogspot.com/2006/08/barclays-y-la-seguridad.html
___
Veo en The Register y en ZDNet como el Barclays Bank se dispone a adoptar un novedoso sistema de seguridad para transacciones online basado en el empleo de dos factores de autenticación, convirtiéndolo en uno de los bancos más innovadores y punteros en este sentido. El banco distribuyó el pasado Julio entre cinco mil clientes británicos un lector de tarjetas autónomo no conectado al ordenador, que genera una clave de doce dígitos en sincronía con un servidor central, y válida para una sola transacción. La tecnología está desarrollada por nCipher.
Para explicar en clase los factores de la seguridad suelo recurrir a las categorías "algo que sabes" (una clave, contraseña o dato determinado), "algo que tienes" (una tarjeta con banda física, un generador de contraseñas, un token) y "algo que eres" (tu huella dactilar, tu iris, las venas de tu muñeca). En este caso, el Barclays ha decidido suplementar las claves que el usuario simplemente sabe, pero que otro puede leer mediante sistemas de múltiples tipos (phishing, pharming, lectores de teclado, etc.) con un sistema que el usuario tiene que tener, añadiendo así un nivel adicional a la seguridad muy dificil de superar. Añadir un tercer nivel exigiría dotar a los usuarios de hardware capaz de leer algún tipo de aspecto biométrico, una opción que seguramente fue considerada.
La decisión me recuerda el lanzamiento de la American Express Blue en los Estados Unidos, que traía en el kit inicial un lector que hacía necesario que la tarjeta estuviese insertada en él para poder llevar a cabo la transacción. El artilugio añadía el requisito de la presencia física de banda y proporcionaba un nivel adicional de seguridad, pero el envío de la información podía seguir siendo capturado y clonado, o introducido por error en una página falsa. En este caso, el uso de un generador de contraseñas de tipo token en el que debe introducirse la tarjeta (son necesarios ambos objetos, lector y tarjeta), pero que permanece separado físicamente del ordenador para evitar la intercepción de la secuencia, y que produce además una clave para cada uso mejora sensiblemente el sistema que en su momento adoptó en pruebas American Express.
Fuente: http://edans.blogspot.com/2006/08/barclays-y-la-seguridad.html
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!