MyInvestor- Escasa seguridad en la firma de operaciones (e inicio de sesión)

1 / 2

Timbo

ForoMiembros: Coche

01-jun-2024 15:29

Estimados foreros:

Soy cliente de MyInvestor. Principalmente, a través de este banco compro participaciones de fondos indexados y monetarios. Estoy, por lo general, contento con su servicio —y, sobre todo, con el hecho de que no cobren comisiones de comercialización—.

Sin embargo, me llama poderosamente la atención que para firmar las operaciones sólo pidan dos posiciones de una "firma", que es siempre la misma (salvo que la cambies). En el fondo, no deja de ser una doble contraseña: la de inicio de sesión y la de "firma". No veo que sea posible configurar ningún método alternativo de segundo factor (como una llave de seguridad o una aplicación genedora de tokens temporales).

¿Qué pensáis al respecto?

Un saludo.

Guarismo

ForoCoches: Miembro

01-jun-2024 15:32

A mí no se me activa el acceso mediante huella digital por más que lo activo y estoy harto de tener que entrar metiendo siempre la contraseña.

Timbo

ForoMiembros: Coche

01-jun-2024 15:36

Cita de Guarismo

A mí no se me activa el acceso mediante huella digital por más que lo activo y estoy harto de tener que entrar metiendo siempre la contraseña.

Prueba eliminando los datos de la aplicación en los ajustes de Android/iOS.

De todos modos, el inicio de sesión con huella dactilar no mejora la seguridad, pues sigue siendo posible, alternativamente, entrar con contraseña. Cuestión distinta sería que pudiese activarse la firma de operaciones por biometría (lo cual sería deseable), como ocurre en otros bancos españoles.

Baltazar

ForoCoches: Miembro

01-jun-2024 20:22

Yo tenia pensado meter algo de dinero a fondos indexados, por lo que veo lo recomiendas no?

MrPotatoSuave

Forocoches: Premium

01-jun-2024 21:10

Cita de Baltazar

Yo tenia pensado meter algo de dinero a fondos indexados, por lo que veo lo recomiendas no?

Depende

Qué edad tienes y cuánto quieres estar invertido?

Si tu idea es a largo plazo hay buenas opciones en indexados, si por el contrario vas a necesitar el dinero en los próximos 5-10 años, quizas no sea la mejor opción

Baltazar

ForoCoches: Miembro

01-jun-2024 21:38

Cita de MrPotatoSuave

Y para meter 1k o 2k en previsión de dejarlo ahi un año mas o menos o dos incluso, que se recomienda?

MrPotatoSuave

Forocoches: Premium

01-jun-2024 21:42

Cita de Baltazar

Y para meter 1k o 2k en previsión de dejarlo ahi un año mas o menos o dos incluso, que se recomienda?

No soy ningún asesor que tengas que tomar como referencia.

Todo depende del nivel de riesgo que estés dispuesto a asumir.

Puedes apostar por una empresa que pienses que vaya a crecer (amazon, nvidia, BYD) si estas dispuesto a asumir perdidas o bien meterlo a plazo fijo al 3 y pico por ciento. Te falta el planteamiento de objetivos

zonocotropo

ForoCoches: Flanders

01-jun-2024 21:45

No te manda sms cuando inicias sesion desde un nuevo dispositivo? Prueba a borrar las cookies a ver

P.D.: Firmar con biometria es de las peores ocurrencias que puede haber. Pierdes o te copian una clave? La cambias. ¿Que haces si te copian tus huellas dactilares?

Sauro

ForoCoches: Usuario

17-jun-2024 15:15

Me acano de dar de alta. Como funciona la firma? No tengo el codigo de las posiciones.

Cita de Timbo

HectorMann

*ba dum tsss*

17-jun-2024 15:23

#10

Cita de Sauro

Me acano de dar de alta. Como funciona la firma? No tengo el codigo de las posiciones.

Se supone que en algún momento ha establecido / tienes que establecer una clave de 8 dígitos de las cuales te pedirán 4 para firmar las operaciones. Yo llevo ya tanto tiempo con ellos que ya ni me acuerdo cuando / como lo hice.

zonocotropo

ForoCoches: Flanders

17-jun-2024 15:31

#11

Por cierto, mucha seguridad y luego no saben validar firmas digitales y te piden que les mandes los documentos firmados a mano y escaneados, superseguro oiga

jcesarsh

ForoCoches: VIP

17-jun-2024 16:33

#12

Cita de Sauro

Me acano de dar de alta. Como funciona la firma? No tengo el codigo de las posiciones.

Cita de HectorMann

La mandan por SMS al darse de alta, no se si se puede cambiar.

Dolph

ForoCoches: Miembro

17-jun-2024 16:40

#13

Cita de jcesarsh

La mandan por SMS al darse de alta, no se si se puede cambiar.

Sí se puede cambiar

Cita de Sauro

Me acano de dar de alta. Como funciona la firma? No tengo el codigo de las posiciones.

Te mandan una por SMS que después puedes cambiar, aunque no me acuerdo en qué momento te la envían

Cita de zonocotropo

A mí me envían el SMS siempre que utilizo un dispositivo desde el que no me he conectado nunca. Por ejemplo, modo incógnito del ordenador.

O si tienes al app en el móvil y la borras y vuelves a instalar, también me pide SMS.

Cita de Guarismo

A mí no se me activa el acceso mediante huella digital por más que lo activo y estoy harto de tener que entrar metiendo siempre la contraseña.

Hubo una temporada hace meses que funcionó, pero dejó de hacerlo, a mí tampoco me va

Pitinvest

💸 Aprendiendo 💸

17-jun-2024 16:42

#14

Puedes cambiar la clave de firma en tus ajustes, tantas veces como quieras.

Y a eso se le suma que, si entras desde otro dispositivo que no sea el tuyo habitual, te mandan un OTP al móvil.

Aunque te roben el móvil y accedan a tus SMS, sin la clave de firma (que son dos posiciones aletorias cada vez), no podrán transferir dinero. Puedes cambiarla, memorizarla y no tenerla en el móvil.

Incluso por 1€ puedes tener un número prepago sólo para MyInvestor y únicamente encenderlo para verificar las órdenes de compra.

Hasta donde yo sé, con ING funciona bastante similar, en términos de seguridad.

Ojalá permitieran un Yubikey o llave de hardware, la verdad. Eso lo haría todo mucho más seguro.

Lacera

Denfrente

17-jun-2024 16:57

#15

A mí me encanta el sistema que tienen para confirmar compras online con la tarjeta.
Mandan sms pidiendo posiciones del pin de la tarjeta.
Mejor que un sms con la clave, que cualquiera podría leer y poner.

Algo que me da sida es que no se pueda congelar la tarjeta. Ni desactivar nada. No hay manera de configurar, pagos contacless, online, retiradas de efectivo, uso internacional de manera individual … nada de nada.
Solo se puede bloquear para siempre.

Un poco rudimentario y mierdoso, en general, el sistema de Myinvestor.
No se entiende algo así de una entidad online moderna.

Don Kiko

Gente de orden

20-jun-2024 21:55

#16

Cita de zonocotropo

P.D.: Firmar con biometria es de las peores ocurrencias que puede haber. Pierdes o te copian una clave? La cambias. ¿Que haces si te copian tus huellas dactilares?

Es más seguro firmar con biometría, que firmar con contraseña + SMS.

La huella leída por el lector óptico/capacitivo/ultrasónico se guarda dentro del teléfono móvil y no sale de él. Como método de autenticación MFA, se necesita robar físicamente el teléfono para intentar engañar al lector de huellas.

La autenticación con el servidor web funciona con un protocolo de desafío respuesta y criptografía de clave pública. La huella dactilar realmente se utiliza únicamente para autorizar la operación criptográfica de firma del desafío, y dicha operación se realiza en un área segura del procesador, siendo incopiable tanto la clave privada criptográfica, como el hash o resumen para comparar y validar las huellas almacenadas

Editado: 20-jun-2024 21:58 -

aluspain m2

ForoCoches: Miembro

20-jun-2024 22:04

#17

Pues a mí me parece mucho mejor ese sistema que el de otros bancos que te mandan un sms con la clave, tienes una contraseña de 8 caracteres en tu cabeza que nadie te puede plagiar

zonocotropo

ForoCoches: Flanders

20-jun-2024 22:13

#18

Cita de Don Kiko

Schneier seal of opinion discarded

Don Kiko

Gente de orden

20-jun-2024 23:43

#19

Cita de zonocotropo

Schneier seal of opinion discarded

Esto es lo que dice Schneier:

Passwords Are Terrible (Surprising No One)

Bypassing Two-Factor Authentication

FIDO2 multi-factor authentication systems are not susceptible to these attacks, because they are tied to a physical computer.

And even though there are attacks against these two-factor systems, they’re much more secure than not having them at all. If nothing else, they block pretty much all automated attacks.

No parece que lo descarte, sino todo lo contrario.

Dime algún experto en seguridad informática, que afirme que la contraseña + SMS (2FA) es más seguro que un dispostivo móvil + biometría (FIDO2).

También existe la opción de dispostivo móvil + PIN (FIDO2), pero tiene el inconveniente de que NO puedes autenticarte en un lugar público a la vista de otras personas. No os imagináis la cantidad de gente que bloquea su teléfono con un patrón o un PIN, y lo desbloquea en público a la vista de cualquiera. En EE.UU. ya ha habido robos de iPhone, accesos a la iCloud y saqueos a las cuentas bancarias, por parte de delincuentes que mediante la técnica del "shoulder surfing" o "mirar por encima del hombro", han descubierto el PIN de la victima para desbloquearle el móvil y entrar en iCloud para acceder a las claves bancarias, después obviamente de robarles el móvil físicamente, quitándoselo de las manos.

Editado: 20-jun-2024 23:50 -

asustadisimo

by Amapolas

20-jun-2024 23:55

#20

La seguridad de los bancos es una puta mierda, en general.

jcesarsh

ForoCoches: VIP

21-jun-2024 00:11

#21

Cita de asustadisimo

La seguridad de los bancos es una puta mierda, en general.

Oí que un banco español, no se si BBVA, iba a dejar abrir cuentas con clave pin, no se por que no dejan hacerlo,con certificado electrónico.

zonocotropo

ForoCoches: Flanders

21-jun-2024 00:19

#22

Cita de Don Kiko

Mezclas conceptos. Para empezar FIDO2 no implica biometría necesariamente, sino tokens hardware. Y si es fácil mirar por encima del hombro un PIN, mucho más fácil es sacar una huella de un puto imán de huellas como es un móvil moderno.

¿Te miran el PIN/clave/patrón? lo cambias.
¿Un ataque dirigido clona todas tus huellas? -> estás jodido en TODOS tus lectores. PARA SIEMPRE. SIN REMEDIO. FIN.

https://www.schneier.com/essays/arch..._uses_and.html

Don Kiko

Gente de orden

21-jun-2024 00:47

#23

Cita de zonocotropo

Mezclas conceptos. Para empezar FIDO2 no implica biometría necesariamente, sino tokens hardware.

Yo no he dicho eso. Precisamente he mencionado dispositivo móvil + PIN (FIDO2) como opción.

Cita de zonocotropo

Y si es fácil mirar por encima del hombro un PIN, mucho más fácil es sacar una huella de un puto imán de huellas como es un móvil moderno.

Cita de zonocotropo

¿Te miran el PIN/clave/patrón? lo cambias.
¿Un ataque dirigido clona todas tus huellas? -> estás jodido en TODOS tus lectores. PARA SIEMPRE. SIN REMEDIO. FIN.

https://www.schneier.com/essays/arch..._uses_and.html

Estás citando un artículo que está contradiciendo lo que dices

A keyboard fingerprint reader can be similar. If the verification takes place across a network, the system may be unsecure. An attacker won’t try to forge Alice’s real thumb, but will instead try to inject her digital thumbprint into the communications.

The moral is that biometrics work well only if the verifier can verify two things: one, that the biometric came from the person at the time of verification, and two, that the biometric matches the master biometric on file. If the system can’t do that, it can’t work. Biometrics are unique identifiers, but they are not secrets. You leave your fingerprints on everything you touch, and your iris patterns can be observed anywhere you look.

[...]

Biometrics are powerful and useful, but they are not keys. They are not useful when you need the characteristics of a key: secrecy, randomness, the ability to update or destroy. They are useful as a replacement for a PIN, or a replacement for a signature (which is also a biometric). They can sometimes be used as passwords: a user can’t choose a weak biometric in the same way they choose a weak password.

Biometrics are useful in situations where the connection from the reader to the verifier is secure: a biometric unlocks a key stored locally on a PCM-CIA card, or unlocks a key used to secure a hard drive. In those cases, all you really need is a unique hard-to-forge identifier. But always keep in mind that biometrics are not secrets.

- Las huellas dactilares o la cara, no viajan por la red a través de Internet. Se validan dentro del propio dispositivo, y suelen viajar por un canal seguro (SPI) entre el lector de huellas y el TEE (Trust Execution Environment).

- Las huellas por sí solas no son una contraseña (nadie ha afirmado eso), pero si son adecuadas como sustituto del PIN, para desbloquear un dispositivo que guarda de forma segura la clave privada, que es la que realmente va a firmar un desafío y demostrar a un tercero que somos quienes decimos ser (autenticación). Sin necesidad de enviar por la red la foto de nuestra cara o nuestra huella.

- A Dimitri, o a Rachid, que están a miles de kilómetros, podrán saquearte tus cuentas bancarias mediante técnicas de phishing y robarte a través de MitM tu contraseña o tu cookie de sesión. En cambio, con autenticación basada en dispositivo móvil + biometría, no van a poder hacerte phishing ni robarte las cookies de sesión "colocándose en el medio". Para robarte necesitarían estar muy cerca tuya, lo suficiente como para robarte físicamente el teléfono móvil.

- Intenta engañar a un teléfono móvil con lector de huellas ultrasónico, "sacando huellas de la pantalla". El artículo que tú mismo citas, precisamente dice que un atacante va a evitar ese tipo de ataques....

- No contestas a la pregunta sobre qué es más seguro, si contraseña + SMS, o dispositivo + biometría... ningún sistema es perfecto ni 100% seguro, pero honestamente yo creo que los bancos son inseguros precisamente por su empecinamiento en mantener la contraseña + SMS como autenticación por defecto y que no se puede deshabilitar nunca.

Don Kiko

Gente de orden

21-jun-2024 01:12

#24

Añadir (e insistir) en que ningún sistema es perfecto, y aunque un sistema de autenticación basado en dispositivo + biometría consiga frenar en seco los ataques de smishing o phising que consiguen robar contraseñas o cookies de sesión, se podrían dar ciertos tipos de ataque si la victima y atacante tiene contacto físico casi directo: imaginemos por ejemplo, que mediante "sumisión química" el atacante roba físicamente el teléfono de la victima inconsciente y consigue que ésta coloque su dedo sobre el lector de huellas. En ese caso, sería más conveniente un PIN o una contraseña.

Pero por otro lado, es más práctico utilizar la huella para acceder a la app de tu banco en el metro para ver tus cuentas, o en la cola del super para desbloquear la tarjeta. El dispositivo+PIN como método de autenticación MFA es preferible para evitar que alguien nos deje incoscientes para utilizar nuestra huella, pero es algo más engorroso de utilizar, y sobre todo es poco recomendable teclearlo a la vista de otras personas.

Y conviene no olvidar que un usuario medio busca ante todo sencillez, y que ahora mismo casi todos los robos y estafas vienen con casi el mismo "modus operandi": robo de contraseña mediante envíos de SMS con enlaces phishing haciéndose pasar por el banco, y robos de claves SMS mediante ingeniería social y llamadas telefónicas haciéndose pasar por el banco. Si eliminas las contraseñas y los SMS como métodos de autenticación, ya has eliminado casi por completo todas las estafas y robos que se cometen hoy en día.

Sólo quedaría el malware como amenaza, y eso ni con una llave de seguridad FIDO2/WebAuthn lo erradicas por completo hoy en día.

zonocotropo

ForoCoches: Flanders

21-jun-2024 01:27

#25

Bueno, veo que no te quedas a gusto si no sueltas tu chapa.

Y veo que tienes problemillas con el inglés: Lo que señalas en negrita habla de que NO NECESITA EL DEDO REAL, que viene a ser otra versión de lo que he dicho de sacar huellas.

Pero vamos, que le estás buscando la vuelta a un artículo de hace 25 años, y es evidente que cosas como no enviar ciertos datos a la red se han resuelto, pero el problema de base que resaltaba el artículo es el mismo, y que ya he dicho 20 veces pero se ve que eres cabezón a más no poder. Aún así te lo repito una última vez: NO PUEDES CAMBIAR TUS DATOS BIOMETRICOS. FIN DEL DEBATE.

No voy a contestar más.

Por cierto, te dejo un bonus track:

Don Kiko

Gente de orden

21-jun-2024 06:25

#26

Cita de zonocotropo

Señalo más cosas en negrita, aunque por algún motivo extraño lo ignoras. A ver si realmente quien tiene problemas con el inglés eres tú.

Lo de que "Firmar con biometria es de las peores ocurrencias que puede haber", obviamente es una cuñadez, y quien lo dice demuestra una evidente falta de conocimientos sobre seguridad informática, y sobre conceptos básicos de criptografía. Es una obviedad para los que hemos estudiado un mínimo de ciencias, ingeniería, etc... Y hemos trabajado en el área de la seguridad y criptografía. Cosa que tú, evidentemente no.

Ya contesto yo a la pregunta que no sabes o evitas responder: una autenticación basada en dispositivo + huella, es mucho más seguro que una autenticación basada en contraseña + clave SMS.

Por cierto, el video que pones es otro ejemplo más de que oyes campanas y no sabes dónde "In those cases, all you really need is a unique hard-to-forge identifier", aparte de que te dicho antes, que intentes engañar a un lector de huellas ultrasónico que llevan algunos teléfonos Android... que tampoco sabrás ni lo que es un lector ultrasónico.

Cita de zonocotropo

pero el problema de base que resaltaba el artículo es el mismo, y que ya he dicho 20 veces pero se ve que eres cabezón a más no poder. Aún así te lo repito una última vez: NO PUEDES CAMBIAR TUS DATOS BIOMETRICOS. FIN DEL DEBATE.

No has entendido nada sobre el artículo que tú mismo has citado. Pero es que además, la autenticación MFA se basa en tener al menos dos factores de autenticación, por lo que si no tienes el dispositivo vinculado, no puedes hacer nada. Tú puedes tener mi huella, pero ni tienes físicamente mi teléfono móvil, ni tampoco puedes engañar al sensor ultrasónico de mi teléfono móvil, simplemente "teniendo mi huella".

savovic

ForoCoches: Miembro

21-jun-2024 09:07

#27

Cita de Timbo

Han anunciado nueva app para octubre, yo espero que metan algo así porque es verdad que firmar con dos posiciones de una misma contraseña siempre es una mierda.

zonocotropo

ForoCoches: Flanders

21-jun-2024 12:56

#28

Cita de Don Kiko

Eres tan cabezón que no entiendes lo que significa FIN DEL DEBATE

Y tan cuñao que pones en "mi boca" palabras que no he dicho (y además citas eliminando contexto, eso hace llorar al niño Jesús).

Pero vamos, que como he dicho, yo ni he hablado de SMS ni de contraseñas ni de nada, solo he dicho (y sigo diciendo y seguiré diciendo por mucho cuñao resabidillo que salga por ahí) lo siguiente:

P.D.: Firmar con biometria es de las peores ocurrencias que puede haber. Pierdes o te copian una clave? La cambias. ¿Que haces si te copian tus huellas dactilares?

Te adelanto que he sudado de leer tus tochos más que diagonalmente, pero no sé por qué no hablas de un OTP hardware en vez de emperrarte en tu puto token hardware con huellas (bueno, sí lo sé: porque eres un cuñao cabezón, que no entiende que está resolviendo el problema de la biometría con un token hardware, y se cree que ha resuelto el problema de la biometría cuando solo lo deja de lado)

Y encima vienes a compararlo con el sistema que te sale de los cojones y que más o menos cuadra en tu esquema cuñadil de "mayor y menor seguridad", pero del que YO NO HE HABLADO.