En vez de tratar de modificar una tecnología que no fue diseñada para operar como software, nuestra recomendación es implementar métodos de autenticación más aptos para el entorno móvil.
Easy Solutions recomienda utilizar métodos de autenticación móvil especialmente diseñados para el entorno móvil.
¿Se Ha Detenido el Desarrollo de los Tokens Móviles, tales como Google Authenticator?
“Los algoritmos HOTP y TOTP son la columna vertebral de una gran variedad de tokens empleados como segundo factor de autenticación, siendo realmente efectivos a la hora de crear impredecibles contraseñas de un solo uso,” explica, Juan Sebastián Gomez, Gerente de Tecnología de Soluciones Móviles, de Easy Solutions. “La versatilidad de estos algoritmos ha permitido que los tokens físicos sean paulatinamente reemplazados por los tokens digitales, reduciendo los costos de manufactura y distribución en el proceso. La masiva adopción de dispositivos móviles ha generalizado el uso de tokens digitales, tales como Google Authenticator.”
Sin embargo, el experto en criptografía y seguridad Chris Drake plantea una importante pregunta en su artículo “Safe with Google Authenticator? Think Again!” (¿Cree que Está Seguro con Google Authenticator? ¡Piénselo de Nuevo!). ¿Son todavía necesarios los tokens móviles como segundo factor?1 En todo este tiempo, los tokens claramente se han vuelto más elegantes y portátiles, pero su función básica no ha cambiado en absoluto. Los bancos y organizaciones todavía confían en ellos debido a su comprobada eficiencia.
Los tokens originalmente fueron concebidos como un mecanismo externo utilizado en el momento en que una transacción tuviera lugar. En vista de que inicialmente eran basados en hardware, su semilla y algoritmo eran “quemados” en los componentes físicos del dispositivo. Pero hoy en día, debido a la gran popularidad de la tecnología móvil, las semillas y los algoritmos son almacenados programáticamente en la memoria del dispositivo.
¿Qué significa esto?
“Esto significa que potencialmente pueden ser vulnerables ante los hackers.” afirma Gómez. Por ejemplo, existe una conocida vulnerabilidad, la cual ya ha sido explotada por los criminales: los tokens móviles dependen de la configuración de hora y fecha del dispositivo para poder generar las contraseñas de un solo uso. Así, los criminales solo necesitan adelantar la hora del dispositivo con el fin de obtener contraseñas futuras, las cuales luego emplearán en ataques de fraude.
Comprometiendo el token digital, el atacante está en capacidad de predecir tokens futuros y utilizarlos en ataques posteriores. Y para empeorar las cosas aún más, el usuario no tendría la más mínima idea sobre lo que está ocurriendo. Esto quiere decir que el criminal puede incluso programar ataques a futuro con los tokens robados.
¿Así que por qué no utilizar un mecanismo externo que defina la configuración de tiempo del token? Esto claramente erradicaría dicha vulnerabilidad, pero asimismo eliminaría una de las características más atractivas de los tokens, su habilidad para trabajar offline. De emplearse esta opción, los tokens dependerían de una conexión a Internet para ofrecer un funcionamiento confiable.
Dos métodos de autenticación seguros
En vez de tratar de modificar una tecnología que no fue diseñada para operar como software, nuestra recomendación es implementar métodos de autenticación más aptos para el entorno móvil:
1. Notificaciones Push: Este método garantiza que sólo el dispositivo del usuario final pueda ser utilizado para autenticar operaciones bancarias, y todo con un simple toque en la pantalla. Las notificaciones push son un método más ágil, más conveniente y ciertamente más seguro, ya que la integridad de las comunicaciones está protegida mediante mecanismos de cifrado y de doble identificador, los cuales permiten identificar usuarios más allá de cualquier duda.
2. Autenticación con códigos QR: Este método emplea la cámara del dispositivo para escanear códigos QR generados por la institución financiera.
Los tokens todavía son vistos como un confiable mecanismo de autenticación, incluso a pesar de aquellas voces en contra, por ejemplo William Morrison en su artículo titulado “The Fundamental Problem with OTPs in Two-Factor Authentication” (El Problema Fundamental con las OTPs en la Autenticación de Doble Factor)2.
“No obstante, a medida que pasa el tiempo, debemos estar siempre vigilantes ante cualquier posible vulnerabilidad en nuestras tecnologías y mantener una mente abierta con respecto a nuevos y versátiles métodos de autenticación más adecuados para el canal móvil.” Concluye, el ejecutivo.
http://www.canalinformatico.net/index.php?option=com_content&view=article&id=4452:icomo-sentirse-seguro-en-sus-transacciones-moviles-&catid=187:seguridad&Itemid=641
No hay comentarios.:
Publicar un comentario