Publicado hace 1 mes por ThePunisherr a threadreaderapp.com

algo que se tiene (un código OTP) o algo que se es (biometría). Es conveniente usar una combinación de, al menos, dos clases: contraseñas y OTP, OTP y biometría, etc. Dentro de cada factor hay mejores y peores implementaciones. Claro ejemplo entre las cosas que se tienen: OTP y llaves de seguridad. Un OTP es un One Time Password, y representa algo que se tiene porque o bien se tiene configurado con un sistema criptográfico que los genera (una app como Google Authenticator o Authy) o se entrega a un dispositivo específico...

Comentarios

sorrillo

#9 Por lo que dices el PIN de la tarjeta de débito o crédito entiendo que está almacenado en la propia tarjeta, originalmente en la banda magnética y ahora en el chip.

Puedo entender las razones históricas para ello, dado que el diseño original se hizo cuando los cajeros seguramente no tenían comunicación alguna con el exterior. Hoy en día sospecho que lo diseñarían de tal forma que la validación fuera en la sede central del banco en cuestión. Aunque quizá al acceder a cajeros a nivel internacional eso aún podría ser problemático hoy en día, según los acuerdos y enlaces que se tengan entre bancos.

PauMarí
editado

#11 has de tener en cuenta que hay más parque de datáfonos que no de cajeros, lo digo porqué, en el diseño de todo el sistema, eso también se ha de tener en cuenta...
Sobre el PIN, está tanto en la tarjeta como en el centro autorizador.
Por cierto, cuando empecé a trabajar allí tampoco creía que el pin estuviera en ja tarjeta, lo veía bastante inseguro... Pero está, te lo aseguro.

sorrillo

#9 Perdona que abuse pero aprovecho para hacerte una pregunta al respecto. Tengo una tarjeta de débito emitida por una entidad extranjera y no hay forma de encontrar ningún cajero que me permita cambiar el PIN, a priori dicen en su servicio de soporte que debería poder hacerse pero todos los cajeros me lo deniegan.

He tenido otras tarjetas de débito de otras entidades extranjeras con el mismo problema, así que entiendo que no es de esa entidad específica ni empresa que proporciona el servicio.

¿Puedes aportar algo de luz a ello? ¿Sabes quién debería considerarse principal responsable de esa limitación de cara a reclamarle?

PauMarí
editado

#12 hay países que pueden tener hasta 6 dígitos para el pin. A parte de eso no se que más decirte, yo programaba datáfonos (principalmente Ingenico) y también el servidor de autenticacion y todo el tema de cambio de pin no permiten hacerlo.
A ver, nosotros también emitimos tarjetas propias y esas sí podría decirlo (teníamos incluso BIN propio, los primeros dígitos de la tarjeta, que tienen que otorgarlo la asociación americana de la banca, o algo así) y te podría contar en que posición de la banda magnética está el pin y cosas así pero como interconectan los cajeros con las emisoras internacionals no lo sé, lo siento.

PauMarí

#12 para ampliar la información, el "programa" del cajero/datáfono/etc nunca "ve" el pin, tu haces el programa como quieras pero para la parte de introducción del pin has de "delegarla" a un "subsistema" (lo que comentava antes del pinpad) y el simplemente te contesta si es correcto o no, por tanto nunca nunca eres consciente del pin del cliente. Partiendo de eso deduzco que en el cambio de pin será el propio pinpad (y no el software del cajero) el que connecta al centro emisor para hacer el cambio (ese es el motivo por el cual no puedes cambiar un pin 4B en un cajero Servired, por ejemplo). Supongo que tu "problema" vendrá por ahí....

h

#9 El pin se valida en la propia tarjeta. Las tarjetas tienen un EMV chip que es el que recibe el pin y devuelve si es válido o no. Si le pasas 3 pins incorrectos el chip de la propia tarjeta se invalida el mismo. No tiene nada que ver con el pinpad. Pasaría lo mismo si envío los voltajes soldando un cable.

Lo que tú cuentas es que el pinpad tiene que leer el pin y pasárselo al chip EMV de la tarjeta. Obviamente el que ha creado el pinpad podría guardarse el pin en algún sitio para usarlo después malintencionadamente y hay distintos protocolos para evitar que eso pueda ocurrir. Uno de ellos es parecido al que comentas.

PauMarí
editado

#20 a ver, que lo he simplificado... (a parte de que yo lo hacía hará como 10 años y entonces casi no había tarjetas "con chip" y esta parte sí la hacía el pinpad).

ContinuumST

#24 Ya, pero eso ya es otra cosa de otro nivel... dentro de mi casa, con un arma, amenazando mi vida... ¿Y para qué demonios va a querer mi contraseña de algún correo? Ni que yo trabajara para el MI6.

Fernando_x

#25 Sí, creo que ya hablamos de esto hace tiempo. Es una solución bastante segura, pero como todas, se puede superar.

ContinuumST

#27 Claro, claro... nada es seguro al cien por cien... por supuesto.

ThePunisherr
autor

#0 Hilo de Ramón Medrano Llamas, Doctor en informática y Senior SSR Engineer en Google.

BodyOfCrime

#1 Doctor en chorradas

Mi recomendación para mejorar muy sustancialmente la protección contra phishing es la siguiente:

1. Preocuparse menos por las contraseñas. Procura usar un password manager sencillo como el Keychain de macOS, o el integrado de Chrome. Es suficiente para tener diversidad.

https://nypost.com/2022/01/02/experts-warn-against-storing-passwords-in-chrome/

abnog

#5 Te respondo al comentario para que les quede claro a los que lo lean que lo que pones es una cita del autor del hilo, no algo que escribas tú. (Al no poner comillas me resultó un poco confuso hasta que leí el artículo. )

BodyOfCrime
editado

#16 También tienes razón de que es muy confuso tal y como lo he puesto

abnog

Los factores biométricos no son sustitutos de la contraseña. Es algo que muestras a todo el mundo y que cualquiera puede copiar (huellas dactilares, cara, etc...).

t

Ya estamos culpando a los usuarios de lo que le puedan hacer los delincuentes. Un claro caso de cultura de la violación; de contraseñas en este caso.

ContinuumST
editado

No me apetece ofrecer más información a los que la puedan guardar... biométrica, personal o de lo que sea... Una contraseña para cada cosa y contraseña larguita y con los caracteres "raros" que me permita, y ninguna ni parecida... Las contraseñas las guardo en papel... entre millones de carpetas con folios de otras cosas... el que busque se va a pasar un buen rato buscando y posiblemente no encontrando.

Fernando_x

#22 Me parece que el que tiene el interés de ponerse a rebuscar entre tus papeles, le saldría más sencillo enseñarte una navaja y obligarte a darle la contraseña.

PAUL2

Y un detective privado? esto va siendo un coñazo. Dentro poco nos obligaran a hacer pis con una app.uff.

Socavador

#2 Un pinchacito en el dedo y ya de paso te controlan los triglicéridos y la diabetes.

pkreuzt

#3 El pinchazo en el dedo ya no se estila, ahora lo que se gasta es esto:

https://www.freestylelibre.es/libre/productos/freestylelibre3-sensores.html

Tus niveles de glucosa 24/7 en la nube (propietaria de la empresa, claro)

sorrillo

#4 El PIN de la tarjeta de débito o crédito se introduce en un dispositivo propiedad del banco, por lo que pueden aplicar ellos medidas de seguridad ignorando lo imprudente que puedas ser tú con la gestión de tus dispositivos.

A su vez el PIN se valida remotamente, existen servidores lejos del dispositivo local que validan ese PIN y cuentan los intentos que se han hecho, pudiendo bloquear por completo la operativa. Con lo que se limitan drásticamente los riesgos de un ataque de fuerza bruta.

A todo ello si la tarjeta de débito o crédito es vulnerable a ataques a quien están robando es al banco y no al cliente, por lo que el nivel de seguridad con el que se sientan cómodos corresponde decidirlo a la banca.

temu

#4 Las tarjetas tienen dos factores de control, uno de conocimiento como es la contraseña y otro fisico como es la propia tarjeta. Es necesario ambos para poder usarla (el pin no se a partir de que cantidad lo pide)

jdmf

Y así el día que nos hacken ni sabremos, ni tendremos, ni seremos.

Omoroca

Para la cuenta del banco seguro, para la cuenta de menéame me da bastante igual, seguramente mi contraseña sea qwerty o 1234, probad!