online auth

Nuevos Esquemas de Autenticación Online

Autenticación bancaria

AmenazasAmenazas a la banca electrónica

2Nuevos Esquemas de Autenticación Online © 2009 evalues

VolumenVolumen de malware

3 © 2009 evalues Nuevos Esquemas de Autenticación Online

TipoTipo de malware


Welcome to the jungle

5 © 2009 evalues

• Número de nuevos programas maliciosos:– Incremento del 89% en la primera mitad del

2008 respecto a la última del 2007.– Una media de 15.292, ¡cada mes!.

ClaseClase ProporciónProporción DiferencialDiferencial

TroyanosTroyanos 91.79%91.79% +2.79%+2.79%

VirusVirus 4.7%4.7% -1.30%-1.30%

OtrosOtros 3.51%3.51% -1.49%-1.49%

¡El 69% de los troyanos están destinados a robar credenciales

bancarias!


Troyanos de inyección de inyección de códigocódigo HTML


Esquemas de autenticaciónautenticación online

7 © 2009 evalues

Dificultad de ataque


Ataques MITM al doble factordoble factor

© 2009 evalues 8Nuevos Esquemas de Autenticación Online

Propuesta de protocoloprotocolo


Protocolo AUTH-MOBILEAUTH-MOBILE

10 © 2009 evalues

1. Usuario pide transacción

2. Proporciona reto

3. Devuelve retoWeb

Teléfono móvil


Protocolo AUTH-MOBILEAUTH-MOBILE

11 © 2009 evalues

• Vincula criptográficamente los datos a autenticar con el reto generado.– Generación de retos autoverificables.– No es necesario guardar estado para cada petición

de autenticación.– No es vulnerable a ataques de denegación de

servicio.


Protocolo AUTH-IAAUTH-IA

12 © 2009 evalues

1. Usuario pide transacción (num. cuenta, importe, etc…)

2. Proporciona reto visual

3. Autoriza la operación

Usuario

Secretoprevio

Captcha


Protocolo AUTH-IAAUTH-IA

13 © 2009 evalues

• Funciona en banda, sin necesidad de tokens hardware o teléfonos móviles.– Proporciona el mismo nivel de seguridad que

AUTH-MOBILE.• Utilización de CAPTCHAS:

– El captcha contiene elementos de criptografía visual para evitar suplantación.

– Banco y usuario comparten un secreto previo: una frase, un dibujo.


online auth

Documents