it-swarm-es.com

¿Cómo generar y usar correctamente (M) TANS?

Si tiene una aplicación que utiliza números de autenticación de transacción (TAN) o TANS móviles, ¿cómo los genera correctamente? ¿Cuáles son los escollos?

¿Y si solo debe permitir el siguiente número en la lista, o cuáles son las mejores prácticas de usar TANS?

9
Andreas Arnold

Lo más importante que necesita es un (bueno) generador de números aleatorios. He visto algunos casos en los que los tans no se distribuyen al azar y, por lo tanto, en algún tipo suputorable.

  1. Solo genera una lista de tans. El usuario puede seleccionar un bronceado para cada transacción. Esta es una de las variantes más inseguras de usar listas de Tan. El usuario puede ser engañado en algún sitio de phishing, ingresa el nombre de usuario, la contraseña y el bronceado. El atacante los lleva y lo usa.
  2. Una mejor versión son tans indexados (ITAN). Cada bronceado obtiene algún número de índice. Cuando el usuario quiera finalizar alguna transacción, el sitio solicita un bronceado con un número de índice específico. Cuando el usuario visita un sitio de phishing y también entra en nombre de usuario, contraseña y bronceado, es menos probable que ingrese al bronceado que es necesario por la siguiente transacción. Así que esto da más seguridad.
  3. TANS MÓVILES (MTAN) está en mi opinión de la mejor manera de gestión de TAN. Si el usuario desea terminar una transacción, su contraparte envía un mensaje corto (SMS). Él tiene que entrar exactamente este bronceado. Entonces, si el usuario visita páginas de phishing, simplemente ya no tiene títeres válidos.

Debe decidir qué tipo de bronceado realmente necesita de acuerdo con los requisitos de seguridad que tiene. Además de crear tans, debe tener un ojo en el canal de distribución (correo postal, correo electrónico, SMS, etc.) de sus listas de bronceado. Si elige una forma insegura, esto también puede poner en riesgo al usuario.

6
qbi