Gartner är på vår sida i bankfrågan

På TechWorld finns nu artikeln Hackare hotar överlista bankerna där det talas om Gartner-rapporten om tvåfaktorsautentisering från i december förra året; Where Strong Authentication Fails and What You Can Do About It. I korthet handlar det om att bankernas tvåfaktors inte kan stoppa en angripare som har kontroll över webbläsaren (populärt: Man In The Browser).

Det här stämmer alltså och är vad jag skrev om här och här och CJ gav rekommendationer om här.

Sammanfattningen av rapporten lyder så här [jag har lagt till numreringen]:

Fraudsters have definitely proved that strong two-factor authentication methods that communicate through user browsers can be defeated, and that the criminals can also figure out how to defeat out-of-band, telephony-based authentication and transaction verification using social-engineering techniques. While future attack types are unpredictable, one thing is very clear. Enterprises need to protect their users and accounts using a three-prong fraud prevention approach that employs (1) authentication, (2) fraud detection, and (3) out-of-band transaction verification and signing for high-risk transactions.

(1) och (2) är självklara. (3) handlar om ungefär det vi bloggat om tidigare; fokusera på transaktionen. Gartner kommer faktiskt med en viktig poäng i slutet:

[...] Further, enterprises should not deluge users with transaction verification requests, and should keep them simple and confined to high-risk transactions, so that users are sure to pay detailed attention to them.

--
Stefan Pettersson

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0