jeudi , 1 octobre 2020

Mobile banking : Le "read only" fait sa place pour plus de sécurité

Home banking one-time password
Home banking one-time password (Photo credit: M*rten)

Accéder à  ses comptes au travers d’internet a depuis toujours nécessité une batterie de mécanismes de sécurité pour garantir l’authentification, la gestion de la session et la sécurité des transactions.

Les mots de passe à  usage unique (OTP, one-time-password) sont aujourd’hui un maillon essentiel de la sécurité pour assurer une authentification forte (basée sur au moins 2 challenges) mais également pour la validation des virements en vue de contrer les attaques du type man-in-the-middle par exemple.


️ Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Ces principes sont établis, pourtant les nouveaux comportements issus de la mobilité et de la navigation en mode Touch nécessitent de prendre en compte de nouvelles dimensions :

  • la navigation en mode Touch ou sur un écran de petite taille ne facilitent pas la saisie répétée de mots de passe complexes et d’OTP ;
  • si le mobile est utilisé comme récepteur de l’OTP par SMS, il devient alors un véritable single-point-of-failure d’un point de sécurité en concentrant  navigation et challenge  sur le même mobile ;
  • En nous accompagnant constamment, le mobile devient le compagnon idéal de gestion  financière personnelle. Qu’importe où nous nous trouvons, nous pouvons  interroger  nos compte et vérifier nos soldes. Les transactions sont dans ce cas moins usuelles.

La consultation seulement pour les mobiles

Afin de ne pas compromettre la sécurité tout en facilitant l’usage mobile des prestations bancaires, un nouveau principe d’accès en mode consultation uniquement commence à  faire son apparition. Cette restriction permet en conséquence de réduire les exigences liées à  l’authentification en la limitant par exemple à  un PIN. La possibilité de réaliser des opérations de virement reste possible mais elle est conditionnée, dans ce cas, à  une authentification forte.

Certaines institutions bancaires proposent donc dorénavant deux modes d’accès selon le type de connexion mobile ou fixe, par le biais du navigateur ou d’une application mobile.

Afin de contrer les risques de vol et de perte, peut-être que l’anonymisation des données personnelles lors de connexions mobiles sera également une prochaine option que les banques proposeront bientôt à  leurs clients mobiles.  A suivre donc.

Accéder à  ses comptes au travers d’internet a depuis toujours nécessité une batterie de mécanismes de sécurité pour garantir l’authentification, la gestion de la session et la sécurité des transactions. De nouveaux principes émergent aujourd’hui pour répondre aux usages mobiles.

Accéder à  ses comptes au travers d’internet a depuis toujours nécessité une batterie de mécanismes de sécurité pour garantir l’authentification, la gestion de la session et la sécurité des transactions. De nouveaux principes émergent aujourd’hui pour répondre aux usages mobiles.

Mobile banking : Le ” read only ” fait sa place pour plus de sécurité (with images) · b3b

Accéder à ses comptes au travers d’internet a depuis toujours nécessité une batterie de mécanismes de sécurité pour garantir l’authentification, la gestion de la session et la sécurité des transactions. De nouveaux principes émergent aujourd’hui pour répondre aux usages mobiles.

Enhanced by Zemanta

About Marc Barbezat

Blogueur et spécialiste en cybersécurité

Check Also

kit premier secours

Un guide du NIST pour se rétablir après une attaque de ransomware

Le NIST a publié un guide pratique sur la cybersécurité que les entreprises peuvent utiliser pour se remettre d'attaques de type ransomware

Un dealer du darknet trahi … par ses empreintes digitales

Voici le récit intéressant qui montre comment un e-baron de la drogue est tombé grâce à une simple photographie.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter