Autentisera transaktionen inte personen

(Publicerad 2009-09-23)

Under konferensen i Polen i maj i år bloggade jag om hur bankernas tvåfaktorsautentisering borde göras. Schneier är lite bättre på att förklara...

Allas vår Bruce bloggade igår om Hacking Two-Factor Authentication och pratar specifikt om bankernas användning av tvåfaktorsautentisering. Det centrala budskapet är:

We have to stop trying to authenticate the person; instead, we need to authenticate the transaction.

Det är precis det här jag pratade om på OWASP Swedens blogg (även om jag inte var tillräckligt skärpt för att få ur mig frasen i rubriken ovan) som vi gästade under konferenserna i Polen i våras.

[...] Om alla tre värden ingår i checksumman (från, till, summa) och det framgår tydligt i bankdosan vad det är du fyller i så att det står "Mottagarkonto:" istället för "SÄKKOD #3" eller liknande (som i dagens) blir det svårare att lura en användare. Man ska märka att man gör fel "hey, det här är inte min mammas kontonummer". Det är en större tröskel att slå in den där "verifieringskoden" när det står "Mottagarkonto:" på dosan.

Det är svårt att prata om sådana här saker på ett koncist och förståeligt sätt. Bruce är en av de bästa på det. Om du inte har sett honom tala tidigare och har en timme över, kolla in The Future of the Security Industry: IT is Rapidly Becoming a Commodity från OWASP Minneapolis den 24 augusti.

--
Stefan Pettersson

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0