Securi+: Nuevo sistema de seguridad de Caja España.
|Caja España ha creado un nuevo sistema de seguridad para su operativa en banca online (Oficina Virtual) denominado Securi+.
Securi+ se basa en la generación de claves de un único uso a través de 3 opciones, un dispositivo de pequeño tamaño, un programa en Java para el teléfono móvil o a través de SMS, con diferentes costes o a cambio de créditos del programa de puntos de la entidad.
Con dichas 3 opciones el usuario tendrá una clave generada en el momento de acceder a la página de Oficina Virtual, que se confontrará con otra generada por el servidor. Una vez se haya accedido, la página nos mostrará un código de confirmación que podremos corroborar con una de las 3 opciones anteriores a modo de verificar que estamos navegando por la página de la entidad y no por una copia.
Esta confirmación sirve para evitar el ataque de phising según la entidad, pero sin embargo dicha petición de clave generada y confirmación se hace después de haber ingresado el usuario y la clave. Creo que esto es un GRAVE error de orden, en el caso de un ataque de phising el usuario ya habrá dado su usuario y clave antes de darse cuenta, con la molestia de tener que cambiarla, aunque luego el atacante no pueda entrar sin la necesidad de dicho generador de claves.
Sin embargo, si el proceso fuera anterior a tener que introducir el usuario y clave, el atacante únicamente obtendría una clave que variaría a los pocos minutos según ese aparato, y por tanto, el ataque sería totalmente ineficaz y sin causar ninguna molestia al usuario y víctima.
Lo que tu ves como un grave error de orden permite que los usuarios no tengan que cambiar sus habitos de navegacion. No todos los usuarios son expertos internautas ni escriben blogs.
Si todos fueran usuarios avanzados tendrian el pc libre de virus/troyanos y sabrian que no deben hacer click en correos spam.
Segun los fabricantes de dispositivos de seguridad generadores de claves estas cambian cada 20 ó 30 segundos asi que lo de minutos lo puedes cambiar.
Esto de internet esta muy bien porque cada uno puede decir lo que opina, sepa o no del tema.
Creo que no ha leido en profundidad o completamente el post.
De hecho, cualquier que sea un usuario experto (para escribir un blog no hace falta serlo) no tendría ningún problema porque no sería susceptible de ser engañado por un correo de spam o de phishing.
Pero SÍ el que no lo sea.
De ahí mi opinión y que por eso empieza la frase con un CREO, que es la que tengo y no puedo cambiarla y por supuesto, estás en tu derecho de no compartir.
Gracias de todas formas por la información, pero igual que tú no me puedes considerar una fuente fiable, pues es tu derecho, yo no puedo considerarte a tí otra. Sin embargo así, cualquiera que pueda leer la noticia podrá imaginarse cómo cambiaría el contexto si la clave cambiara cada 20 ó 30 segundos en vez de lo de minutos.
Utilizo las oficinas virtuales de Caja España.
He visto lo de securi y he buscado en internet para saber como funciona.
Como comenta en el artículo, yo también opino que el orden es incorrecto y no voy a adquirir ningún dispositivo. Únicamente protege contra pishing. Y hay que ser bastante tonto para entrar a tu banco de un enlace en vez de teclear la dirección. Lo han dicho mil veces. Si tienes alguna duda descuelgas el teléfono y llamas a tu sucursal habitual.
Veo una mayor amenaza los virus/troyanos que pueden pasar totalmente desapercibidos incluso con software antivirus actualizado seas o no usuarios avanzados.
Si el cliente tiene que cambiar los hábitos porque lo hacen mal tampoco pasa nada. Tampoco creo que haya que ser de la NASA para comprender que hay que meter un número antes de la contraseña habitual y no despues.