Online Business Center, Online Magazine & Real Estate Consulting
Online Auth
-
Upload
evalues-evalues -
Category
Documents
-
view
244 -
download
0
description
Transcript of Online Auth
Nuevos Esquemas de Autenticación Online
Autenticación bancaria
AmenazasAmenazas a la banca electrónica
2Nuevos Esquemas de Autenticación Online © 2009 evalues
VolumenVolumen de malware
3 © 2009 evalues Nuevos Esquemas de Autenticación Online
TipoTipo de malware
4 © 2009 evalues Nuevos Esquemas de Autenticación Online
Welcome to the jungle
5 © 2009 evalues
• Número de nuevos programas maliciosos:– Incremento del 89% en la primera mitad del
2008 respecto a la última del 2007.– Una media de 15.292, ¡cada mes!.
ClaseClase ProporciónProporción DiferencialDiferencial
TroyanosTroyanos 91.79%91.79% +2.79%+2.79%
VirusVirus 4.7%4.7% -1.30%-1.30%
OtrosOtros 3.51%3.51% -1.49%-1.49%
¡El 69% de los troyanos están destinados a robar credenciales
bancarias!
Nuevos Esquemas de Autenticación Online
Troyanos de inyección de inyección de códigocódigo HTML
6 © 2009 evalues Nuevos Esquemas de Autenticación Online
Esquemas de autenticaciónautenticación online
7 © 2009 evalues
Dificultad de ataque
Nuevos Esquemas de Autenticación Online
Ataques MITM al doble factordoble factor
© 2009 evalues 8Nuevos Esquemas de Autenticación Online
Propuesta de protocoloprotocolo
9 © 2009 evalues Nuevos Esquemas de Autenticación Online
Protocolo AUTH-MOBILEAUTH-MOBILE
10 © 2009 evalues
1. Usuario pide transacción
2. Proporciona reto
3. Devuelve retoWeb
Teléfono móvil
Nuevos Esquemas de Autenticación Online
Protocolo AUTH-MOBILEAUTH-MOBILE
11 © 2009 evalues
• Vincula criptográficamente los datos a autenticar con el reto generado.– Generación de retos autoverificables.– No es necesario guardar estado para cada petición
de autenticación.– No es vulnerable a ataques de denegación de
servicio.
Nuevos Esquemas de Autenticación Online
Protocolo AUTH-IAAUTH-IA
12 © 2009 evalues
1. Usuario pide transacción (num. cuenta, importe, etc…)
2. Proporciona reto visual
3. Autoriza la operación
Usuario
Secretoprevio
Captcha
Nuevos Esquemas de Autenticación Online
Protocolo AUTH-IAAUTH-IA
13 © 2009 evalues
• Funciona en banda, sin necesidad de tokens hardware o teléfonos móviles.– Proporciona el mismo nivel de seguridad que
AUTH-MOBILE.• Utilización de CAPTCHAS:
– El captcha contiene elementos de criptografía visual para evitar suplantación.
– Banco y usuario comparten un secreto previo: una frase, un dibujo.
Nuevos Esquemas de Autenticación Online