Parliamo di app bancarie.
Spesso non funzionano sulle ROM custom/self compiled, o per farle funzionare serve sprecare tempo. Quasi mai funzionano su un telefono rootato/sbloccato senza workaround.
La pessima etica e illusa sicurezza di questi comportamenti mi fanno rattristare, ma vi chiedo di portarmi un po’ di gioia:
Qualcuno è a conoscenza di una banca che supporta una MFA standard come il TOTP?
Mi riferisco a FreeOTP e similari come Aegis Authenticator, Google Autheticator ecc…
Ignoriamo il fatto che molte banche offrono comunque un authenticator fisico, il poter avere l’MFA in un telefono “Multiuso” è secondo me un vantaggio imbattibile. Ma avere l’app della banca con all’interno sia password che OTP? Non scherziamo :)
In effetti non ne conosco. Va “di moda” la biometrica, ma il TOTP no.
Già, altra cosa che non riesco assolutamente a capire.
Se i dati biometrici vengono leakati, o qualcuno ottiene l’impronta digitale del mio dito, vuol dire che avranno accesso fino al resto della mia vita a tutto quello che ho?
Ok che per la maggior parte hanno tutti 10 diti e nel caso posso usare un’altro dei 10, ma a questo punto è meglio una chiave fisica, che almeno può essere cambiata nel tempo.
Beh in realtà mi aspetto che sia memorizzato l’hash dell’impronta, non l’impronta stessa
EDIT: Leggo inoltre (da thread su Reddit, quindi non necessariamente affidabile) che a quanto pare in base alla normativa PSD2 i TOTP per le transazioni devono riportare anche gli estremi (e.g. “stai autorizzando un pagamento di x euro a società y”), e l’unico modo che mi viene in mente per implementare questa soluzione sarebbe obbligare all’utilizzo dell’app della banca. Che potrebbe non essere necessariamente un male, ma visto che siamo su Feddit sottolineo ad esempio che l’app della mia non gira su GrapheneOS degooglata
Non avevo mai pensato al fatto che, quando dall’APP autorizzo i pagamenti in effetti vengono mostrati i dati del ricevitore.
Interessante il PSD2 https://en.wikipedia.org/wiki/Payment_Services_Directive#Revised_Directive_on_Payment_Services_(PSD2)
Ironicamente, leggendo da Wikipedia tutto questo dovrebbe aiutare il concetto di “Open banking” XD
Quindi niente, servirebbe comunque un altro sistema separato per avere un sistema decente. Beh, la speranza è l’ultima a morire.
In teoria i dati biometrici dovrebbero risiedere solo sul dispositivo, mai in cloud… in teoria 👀
Solamente l’hash è caricato si, però rimane comunque un identificatore univoco che non può essere mai cambiato in caso di compromissione