Re: ¿Coinc es seguro?
Y, ¿si el troyano/keylogger es del tipo que captura la pantalla en páginas sensibles? (por cierto, ¿sigue existiendo aún?)
Y, ¿si el troyano/keylogger es del tipo que captura la pantalla en páginas sensibles? (por cierto, ¿sigue existiendo aún?)
Muy buena pregunta. Eso se soluciona no visualizando los caracteres, sino mostrando asteriscos.
Gracias (soy del sector xD) Ya, se ponen asteriscos o topitos, pero... ¿y si el troyano/keylogger usa algún temporizador para saber qué carácter es cada uno? etc, etc. Quiero llegar a que la seguridad no existe y que lo que necesitamos es un generador de tokens en condiciones...
Saludos
O tampoco... que nos lo pueden "levantar" ... jejeje ;-)
Generador de tokens tienes el de google, que lo tiene renta4 y Degiro, pero va en el móvil. Y si el troyano permite visualizar y loguear a la vez? Si eres del sector, sabrás que estoy hablando de mitigar el riesgo a un precio asequible. La clave de firma es un proyecto informático más, de muy poco precio... mandar tokens a todos los clientes ya me parece una pasada... :) Además, de token ya te hace el sms con la clave, por lo que preferiria la clave de firma en este caso.
Yo he visto, en entidades europeas no españolas, maquinitas bastante decentes y usadas desde hace mucho tiempo ya... Desconozco el tema coste. Tampoco sé cómo lo tiene Google (términos y condiciones y esas cosas). En fin, que soy partidario de clave de acceso + clave de firma + código de un solo uso... pero no siempre disponemos de ello en nuestras cuentas y en caso de problemas serios: reclamación y/o juzgado.
Y perdonad, pero no puedo resistir sin añadir un toque de humor... que es un clásico entre informáticos... http://xkcd.com/538/
Clave de acceso más clave de firma más código de un sólo uso. Ese es el modelo de Openbank asequible que vengo comentando todo el hilo!!! Tenía que venir uno del sector a darme la razón :)
Alguien ya comentó que la seguridad suma. Yo, por ejemplo, prefiero tener esas tres capas y que la última no sea SMS (no soy fan de móviles tampoco), pero no las tenemos siempre y la tendencia es al móvil...
Centrados en el tema, sobre si es Coinc seguro: lo es suficientemente y todavía lo podría ser más, no? :-)
Te respondo rápido, para ti sí, para mí también, suponiendo que tu móvil tiene pin y cuidas tu ordenador. Para mi padre... No, no lo es, tiene el móvil sin clave y es capaz de meterse al banco en el ciber del hotel... Si yo doy mi opinión personal, no lo considero seguro. Si doy mi opinión como auditor, esto no sería un finding, sólo una recomendación muy barata de implementar y con un beneficio muy grande.
También es cierto que si el usuario no cumple sus obligaciones, toda seguridad se anula; p. ej. añade una clave de firma como seguridad y que el usuario de turno la anote completa en un post-it junto al login y... apaga y vámonos, no?
El banco no puede aplicar ninguna contramedida para evitar eso.
La contramedida está en los términos y condiciones del contrato, creo, para lavarse las manos ellos. Ya se comentó por un compañero hace un tiempo, se traslada el peso de la seguridad del banco al usuario y sus dispositivos :-/ Pero esa es otra película...
[...] Sera responsabilidad del cliente mantener en secreto y custodiar diligentemente sus elementos de seguridad identificativos, evitando el acceso a los mismos por parte de terceros. En este sentido el cliente se compromete expresamente a no revelar ni facilitar sus elementos de seguridad identificativos a otras personas y a mantenerlos en lugar seguro. En caso de pérdida o sustracción de los elementos de seguridad identificativos, el Titular deberá comunicarlo a Bankinter antes de las 24 horas siguientes al momento en que tenga conocimiento del acaecimiento de los mencionados hechos. Mientras no realice esta comunicación, el titular será responsable de cualquier operación realizada con sus elementos de seguridad identificativos, quedando Bankinter liberado de cualquier responsabilidad que pueda surgir como consecuencia de las operaciones que se realicen mediante el uso de los citados elementos de seguridad identificativos.
Claro y con eso solucionado. No te pongo clave de firma, pero te traslado el riesgo a ti. Paciencia!