España
Acceder
  1. Inicio
  2. Perfil de almaxx
  3. Participaciones

Participaciones del usuario almaxx - Bancos

Foro:
Economía (3) | Bolsa (27) | Fiscalidad (9) | Bancos (154) | Fondos (597) | Hipotecas (2) | Depósitos (76) | ADSL (4) | Preferentes (1) | Empresas (1) | Consumo (4) | Inversiones alternativas (8)
almaxx 22/04/21 14:41
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Yo hablo del SMS para enviar un código OTP al hacer la transferencia, pero vamos cualquier seguridad es bienvenida, mientras sea a través de un método seguro, y no por un sms
almaxx 22/04/21 14:32
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Técnicamente ya aplican una verificación en dos pasos, clave de login y sms con oro, sino no cumplirían PSD2, otra cosa es la calidad de ambas verificaciones
almaxx 22/04/21 13:48
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
La conexión con el banco no la has hecho tú... la persona que te suplanta tiene tu clave de acceso que obtuvo con un keylogger.A ver, evidentemente son ataques dirigidos, donde saben a quien se lo hacen, pero con bancos como Pibank o Selfbank donde se entra con el DNI y una clave de 6 cifras que se mete entera cada vez que uno entra, el keylogger lo capturará fácilmente, y ya puede acceder a tu banco en tu nombre...Luego se preocupará de conseguir en tu nombre un duplicado de tu tarjeta SIM, y obtendrá el SMS con el código OTP cuando haga la transferencia.... De todo esto te enterarás tú si:1) Accedes diariamente a tu banco y lo ves y estás a tiempo de parar la transferencia.2) Te llega un email con el aviso de la transferencia.De lo contrario, al juzgado a reclamar la pasta al banco. Lo ganarás, las sentencias que he ido viendo yo con el tiempo vienen a decir que si el banco no pone todas las medids de seguridad que la tecnología permita en cada momento, el fraude será responsabilidad de ellos, peor mientras tanto el disgusto te lo llevarás tú.Lo de la cuenta vinculada de EBN me ha gustado, así me aseguro que sólo se pueda sacar el dinero a una cuenta mía propia (certificados de titularidad de por medio).Un saludo,
almaxx 22/04/21 13:14
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Por cierto, lo que me has comentado es justo lo que andaba buscando, lo de EBN... He llamado y el hecho de que restrinjan la cuenta salienta a una donde demuestres que tú eres el titular con certificado de titularidad me parece una buena opción para lo que quiero.Muchísimas gracias!!!
almaxx 22/04/21 12:58
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Para mí sí es suficiente (dentro de lo que hay).La clave de firma añadida de 8 caracteres alfanuméricos donde te piden sólo 3 aleatorios me es suficiente (añadido a la clave de acceso y al SMS con el OTP).Es difícil que hoy en día nos den más que eso, si bien me gusta más lo que tengo en Renta4, que es el Google Authenticator para poder operar.No encuentro mejores opciones que estas dos implementadas en los bancos que conozco hasta ahora, y a los que he llamado para preguntar antes de hacerme cliente.Del token físico, mejor nos olvidamos. Si queremos un token físico, lo más cercano será Google Authenticator en un móvil sin conexión a internet.
almaxx 22/04/21 12:56
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Eso no soluciona nada, el SMS puede ser interceptado fácilmente por alguen aprovechando la vulnerabilidad SS7 o bien con un SIM swapping. Una vez que tiene en su poder el SMS, que más da lso caracteres que tenga el código de un sólo uso o los que haya que introducir en la web.... tienen el SMS en su poder, y de hecho tú ni te enteras porque con un SIM swapping no te llegará a ti.
almaxx 22/04/21 00:00
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Es de perogrullo que si tu sistema está comprometido, la App que genera códigos también está comprometida y puede ser utilizada por el atacante de igual forma...A lo que vamos en este caso es dificultar lo más posible el acceso de una forma razonable, ya que desafortunadamente no nos van a dar un token físico a cada cliente, y para ello el SMS no es el método más adecuado. Me sigo quedando con la configuración de Openbank, y de igual forma con el Google Authenticator que es básicamente a lo que tú te refieres, pero que podría ocasionar el mismo problema.Una buena idea podría ser tener el Google Authenticator instalado en un teléfono viejo sin acceso a internet :) Eso ya sería el equivalente a un token físico... pero vaya que eso no lo va a hacer la gente.Mucha gente sólo se conecta al banco iniciando un linux conectado por USB y así se evitan posibles problemas en caso de que su sistema estuviera comprometido.
almaxx 21/04/21 09:58
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Si es un teclado virtual, pulsas con el ratón, así que no, no lo sabrá. Un keylogger simplemente registra las teclas que tecleas en el teclado tuyo.
almaxx 21/04/21 09:54
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
Correcto, lo ideal sería un token que no se conecte a internet. Lo más parecido es Google Authenticator. Lo que comentas de OrangeBank es lo que tienen otras entidades y es buena idea, al menos prescindes del SMS.
almaxx 21/04/21 09:50
Ha respondido al tema Entidades bancarias con clave de firma y OTP para transferencias externas
No es tan sencillo... Un keylogger no sabrá que posiciones estoy metiendo. Sabe que meto una "K", pero no sabe a que posición de la clave pertenece, por lo que no es como tú comentas.Por otro lado, la clave de firma la mandan por correo postal en caso de que se restaure.