PSD2: ¿Es este el fin de la autenticación basada en SMS?
Bancos y proveedores de servicios de pago. a veces se basan en SMS para verificar la identidad de una persona que desea realizar una transferencia bancaria o confirmar un pago. Envían un mensaje SMS con un contraseña de un solo uso (OTP) al teléfono móvil de la persona, y el usuario debe ingresar esta OTP en la aplicación del banco o proveedor de servicios de pago.
En esta publicación de blog, discuto si Autenticación basada en SMS seguirá siendo aceptable cuando entren en vigencia los requisitos de Autenticación de cliente fuerte (SCA) bajo PSD2. En agosto de 2016, la Autoridad Bancaria Europea (EBA) publicó su proyecto de propuesta para la Norma Técnica Reguladora (RTS) sobre Autenticación de Clientes Fuertes (SCA). Mi análisis se basa en este apéndice de PSD2. Esperamos que la EBA finalice el RTS en las próximas semanas.
Para responder a la pregunta de si la autenticación basada en SMS será aceptable, consideramos tres escenarios para usar SMS. Luego discutimos cuál de los tres escenarios cumple con los requisitos del RTS.
Escenario 1: autenticación de dos dispositivos (2da)
En este caso, el usuario tiene dos dispositivos independientes: un dispositivo para acceder a un sitio web o aplicación bancaria, y otro dispositivo para autenticarse o un pago. El primer dispositivo, al que nos referimos como dispositivo bancario , generalmente es una PC de escritorio, una computadora portátil o un dispositivo móvil (por ejemplo, teléfono, tableta) que ejecuta una aplicación de banca móvil. El segundo dispositivo, que llamamos dispositivo de autenticación , es un dispositivo móvil que recibe el SMS. Suponemos que el usuario se autentica en el sitio web o la aplicación bancaria utilizando la OTP del SMS y una contraseña o PIN.
Esta solución cumple con el RTS cuando se usa para inicio de sesión al sitio web o aplicación bancaria. La solución puede ser compatible con firma una transacción, pero solo si se cumplen dos condiciones. Primero, el mensaje SMS debe contener los detalles de la transacción (por ejemplo, cantidad, beneficiario). En segundo lugar, el contenido del mensaje SMS debe estar protegido contra alteraciones durante el tránsito y la recepción por parte del dispositivo móvil. Este último requisito no se cumple fácilmente mediante mensajes SMS, ya que generalmente no están protegidos.
Por lo tanto, en general, la autenticación basada en SMS se puede usar para iniciar sesión, pero no para firmar.
Escenario 2: autenticación de dos aplicaciones (2aa)
A diferencia de 2da, este enfoque no se basa en dos dispositivos diferentes, sino en dos aplicaciones diferentes que se ejecutan en el mismo dispositivo móvil. Las aplicaciones interactúan a través de la llamada comunicación de aplicación a aplicación. Nos referimos a estas aplicaciones como aplicación bancaria y aplicación de autenticación respectivamente. La aplicación de autenticación solicita y recibe los mensajes SMS.
La autenticación estándar basada en SMS no es compatible por dos razones. Primero, el SMS puede ser interceptado y alterado en tránsito. En segundo lugar, el malware puede interceptar el SMS en el dispositivo móvil, lo que significa que no se cumple el requisito de segregación de canales del RTS.
La solución se puede cumplir si el contenido del mensaje SMS está protegido mediante un canal seguro de extremo a extremo que termina en la aplicación de autenticación, de modo que solo la aplicación pueda descifrar el SMS. Sin embargo, este no es el enfoque estándar.
Escenario 3: autenticación de una aplicación (1aa)
En este caso, el usuario no solo usa un solo dispositivo, sino también una sola aplicación para iniciar y autenticar transacciones. El usuario no emplea un dispositivo o aplicación de autenticación por separado.
Este escenario no es Cumple con los requisitos de PSD2 , porque no hay segregación de canales. El uso de SMS no influye en esto.
Conclusión
Todavía estamos esperando los requisitos finales sobre Autenticación fuerte del cliente bajo PSD2. Sin embargo, si nada cambia en comparación con la propuesta actual, está bastante claro que Autenticación basada en SMS tendrá dificultades para cumplir con los requisitos, especialmente aquellos relacionados con la aprobación de pagos.
