Multi-Factor Auth și ING

Să-mi fut una… Nu mă așteptam să existe atâția oameni cu capul pe umeri care să se bucure că ING-ul permite accesul fără digipass folosind aplicația lor de mobil. Și cum comenta Bogdan, aș putea să pun pariu că odată cu activarea “Access Rapid” (sau cum căcat se cheamă), accepți și un set de termeni și condiții  prin care găsești scris pe undeva mic cum că banca nu e responsabilă dacă-ți dispar banii din cont după ce-ai activat rahatul ăla (sper că nu-i activ by default). De fapt aș putea să pun pariu că nu e resposabilă oricum. Chiar dacă ai digipass. Pentru că poți fi genul ăla de idiot care-și scrie PIN-ul cu carioca pe digipass. Caz în care nu-i vina băncii că mă-ta te-a născut prost și faptul că încă trăiești e o dovadă în plus că selecția naturală nu-și prea mai face treaba.

Cunosc persoane (mai obsesiv-compulsive ce-i drept) care țin mașină virtuală dedicată pentru tranzacții bancare. Eu nici n-am vrut să aud de internet banking la BT până când n-au avut și ei sistemul cu digipass. Și dacă stai să te gândești că în zilele noastre chiar și folosind multi-factor auth. tot poți să ai un trojan sau să fii ars cu un phishing. Și înainte de-a comenta ca nu ești tu prost, că-ți dai seama de phishing, gândește-te la următorul scenariu. Te conectezi în rețeaua wireless a lui Gigel iar el îți servește prin dhcp, odată cu adresa IP și un nameserver al lui. Prin care, în loc să te trimită pe site-ul legitim te trimite pe site-ul lui. Unde tu îți bagi ca fraierul toate datele.

Acum nu știu cum e construită aplicația aia ING dar tocmai din cauza asta mă sperie că renunță la un factor de autentificare. Nu văd nici o posibilitate prin care să se asigure că tranzacțiile sunt la fel de sigure ca atunci când erai obligat să folosești digipass-ul ca să semnezi fiecare tranzacție. Dar cum “vocea poporului” a cerut aplicație fără digipass, poporul a primit. Pentru că, până la urmă, treaba băncii nu e să te țină pe tine de mânuță și să te învețe să nu faci prostii. Au suficiente informații pe site în care-ți zic ce n-ar trebui să faci. Dacă tu insiști, o faci pe barba ta. Și sincer, aștept cu nerăbdare primii idioți care vor face gălăgie că au dispărut bani din cont iar ei aveau parola setată cu 123456. Ah, by the way, parola este DOAR numerică, 6-10 caractere. Mai mai că mă bate gândul să-mi fac un wireless free  cu un SSID de genul “WiFi pentru tranzacții ING sigure”.

 

17 Comments Multi-Factor Auth și ING

    1. Meekuu

      Ce-i drept, ultima oară a fost după ce am umblat cam beat și într-o dispoziție darnică prin niște baruri. Da’ nici nu mă duc să-mi verific conturile din bancă pe unde apuc.

  1. Florin

    Cei de la ING spun ca aplicatia de pe mobil este imperecheata cu contul de internet banking si accesul pe baza de parola se poate face doar de pe acel device. In orice caz optiunea de logare cu user/parola apare doar dupa ce imperechezi aplicatia.

    Problema mai mare nu mi se pare ca permit accesul doar cu o parola ci ca ai o limita de 5 tranzactii a cate 2000 lei pe zi (total 10000 lei/zi), limita care nu poate fi modificata. Daca imi permiteau sa setez limita la 0 si sa am dreptul doar la consultarea soldului si la tranzactii intre conturile proprii pentru mine era perfect.

    Oricum m-ai convins sa o dezactivez aceasta optiune, multumesc.

    Reply
    1. Florin

      Nu se bazeaza pe sms, am testat fara cartela sim in telefon si se conecteaza in continuare.
      Cred ca se bazeaza pe ceva mesaje push pe care le trimite banca catre aplicatia imperecheata prin internet.

  2. bogd13

    @jules: Nope – din cate vad eu (dupa discutia cu Meekuu, am intrat iute in interfata web, sa ma asigur ca “feature”-ul NU este activat implicit! :) ), este o parola numerica setata de tine.

    Reply
  3. Tyby

    De-aia ii bine sa ai AP-ul propriu pe unde te duci. In plus, BT imi ofera posibilitatea de second auth prin SMS pe un numar preaprobat, cu primary pe parola alfanumerica fara limita de caractere (cel putin limita este la mai mult de 13-14 bucati). Telefonul oricum il am dupa mine oricand, si nu trebuie sa mai car si rahatul ala de digipass si sa am si grija lui. SMS-ul este unic generat la fiecare operatiune pe care o efectuezi, asa ca – chiar si in eventualitatea unui phishing inteligent facut – nu prea are ‘ecaru’ cum sa se foloseasca de datele respective, iar furtul de sesiune nu ajuta in nici un fel.

    Secure enough for me.

    Reply
    1. bogd13

      @Tyby: Din păcate, degeaba ai AP-ul propriu, dacă nu ai unde să-l bagi :) (și dacă totuși ai acces la o rețea wired, de ce ai mai avea nevoie de AP? :) ). În plus, chiar dacă ai AP-ul propriu, atacul descris de Meekuu rămâne posibil cât timp nu ai control pe toată rețeaua locală (chiar cu AP-ul tău, ce îl împiedică pe Gigel să-ți dea DNS-ul lui prin DHCP?).

      Ar mai fi varianta utilizării unui AP de tip MiFi (3G-to-WiFi thingie), dar cu o penalizare de viteză și dependența de un semnal 3G care nu e întotdeauna existent. Și cu costurile corespunzătoare în roaming. :)

  4. ABS

    Cel mai sfant ramai la digipass si gata…
    Apropos de autorizare, aia de la Raiffeisen au o solutie putin diferita, nu-s 100% sigur ca e mai safe, dar ma rog. Exista un digipass in care bagi cardul (digipassul nu e personalizat – am folosit digipassurile colegilor de mai multe ori), te identifici bagand cardul in device si bagi pinul; cand vrei sa semnezi o tranzactie iti cere sa introduci suma si ultimele 5 cifre ale contului destinatie. In felul asta e mult mai greu de facut phishing, dar nu imi inspira foarte multa incredere sistemul. Plus ca aia de la Raiffeisen sunt niste cretini cu C mare, am avut niste meciuri cu ei pe teme de “ai zis ca nu vrei reclama, da’ ia totusi”, care s-au lasat cu o amenda din partea ANSPDCP.

    Reply
  5. adrian

    Sa nu uitam ca nu te obliga nimeni sa activezi dracia asta. Potio sa fii safe in continuare cu token-ul ala. Daca nu bifezi acolo nu te afecteaza cu nimic. De acord ca dispare un layer de securitate daca o faci, dar eu am activat-o constient de asta. E o treaba de convenience.

    Reply
    1. Meekuu

      Doar că în cazul ăsta comoditatea s-ar putea să usture mai mult decât merită. Nu știu dacă/cum este autentificat device-ul pentru care ai activat chestia asta și sincer consider că nu-i mare rahat să scot token-ul din rucsacul de laptop sau să aștept 1-2 ore până ajung lângă el. De obicei îl car după mine în rucsac.

  6. nexus

    Este o tendinta de a da “vitelor comode” ce isi doresc. Mai intai au renuntat la PIN cand platesti cu un card (prea greu sa mai bagi patru cifre…), pe urma au renuntat si la card trecand la plata prin sistemul NFC, ca e greu sa mai cauti si un card in portofel…
    Asta e – “vita comoda” vrea sa le poata face pe toate FARA nici un efort, DAR sa nici nu ii dispara banii “miraculos”.

    Reply
  7. virremoval

    dns setate manual + vpn -> le consider obligatorii daca te conectezi de pe un wifi nesecurizat mai ales in cazul tranzictiilor bancare.

    un AP wifi portabil ar fi o solutie si nici nu sunt scumpe de exemplu tplink mr3040 combinat cu un stick 3g

    Reply
  8. raw

    Dar ce sume tranzactionati de tre sa fiti permanent conectati la contul(urile) alea? Am si eu un cont la care limita de transfer pe aplicatia mobila e undeva la 200 si ceva de euro pe zi, deci …fara digipass oricum n-are ce face nimeni.Plus ca imi autentifica fiecare cont nou cu digipass-ul deci oricum nu pot folosi aplicatia mobila pt transferuri catre conturi noi.Ce am patit recent si nu ma asteptam, am platit via paypal utilizand un card maestro (e relativ noua optiunea) si tot timpul cand plateam cu maestro se finaliza tranzactia doar dupa autentificarea cu digipassul . De data asta plata s-a efectuat direct doar cu data expirarii,nume si numar card. Probabil inca mai lucreaza banca la acordurile cu paypal-ul dar oricum am avut asa o strangere de inima cand am vazut cum s-au dus banii doar cu cateva date introduse.

    Reply
  9. avionaru

    Unicredit are de mai multe luni aplicatia asta, pe care o folosesc din prima zi, e f comoda si utila. Esti mai catolic decat papa, adica ai dreptate in teorie, dar in practica e ok si cu aplicatia de mobil. Problemele majore nu sunt cele expuse de tine, ci faptul ca aplicatia nu pare sa se protejeze de atacuri “hardware”. Daca schimbi ROM-ul pe telefon, aplicatia trebuie reautentificata prin SMS de la ei. Daca pui un backup vechi cu aplicatia “preinstalata”, merge. Am schimbat ID-ul dispozitivului si merge in continuare. N-am avut inca timp sa fac un freeze/backup extern si sa transfer totul pe telefonul prietenei. Daca atunci aplicatia porneste si ii cere pin-ul… nasol :))

    Reply
  10. Jay

    Acum sa fim seriosi, trebuie sa fii cel putin naiv ca sa nu zic mai urat, daca te apuci sa faci tranzactii bancare de pe SSID-uri nesecurizate care emit de prin boscheti. Eu personal cand umblu pe chestii sensibile ma conectez pe un vpn care imi serveste inclusiv dns-uri.

    Reply

Leave a Reply to raw Cancel reply

Your email address will not be published. Required fields are marked *