La protection est qu'il est indispensable de posséder la CB et de connaître son code pour faire un achat 3DS sur internet, le boîtier n'est qu'un intermédiaire, l'intelligence est dans la CB.
Le fonctionnement est que
1. j'introduis ma carte CB dans le boîtier,
2. je compose mon code confidentiel
3. le boîtier envoie le code à la CB,
3.1 si c'est erroné, j'ai cramé une tentative, et au bout de 3 c'est la CB qui est cramée (comme le ferait un distributeur de billets).
3.2 si c'est le bon la puce de la CB retourne un code
4. et le boîtier m'affiche code.
Donc, pour faire l'achat 3Dsecure, j'ai besoin :
- de posséder physiquement ma carte CB (pas juste une emprunte / une photo)
- de connaître le code (et je ne peux donc pas les essayer tous)
On a bien 2 facteurs nécessaires à l'authentification forte sur les 3 possibles :
1. Ce que je sais → L'authentifiant (mot de passe) -> le mot de passe CB
2. Ce que je possède → un certificat, un badge ou une carte à puce -> la CB
3. Ce que je suis → une empreinte biométrique
Cela me convient bien car j'exclue d'enregistrer mes empreintes biométriques dans mon smartphone (possiblement vérolé), (et de toute façon l'appli de la banque ne fonctionne pas sur mon smartphone sans googleapps).
Le code SMS seul, n'est pas forcément aussi sûr. Selon moi il peut ne respecter
- aucun des 3 point si le SMS est détourné sur le réseau
- uniquement le point 2. si le SMS s'affiche sans avoir besoin de déverrouiller le téléphone.
C'est probablement pour cela qu'il est complété par le mot de passe banque en ligne, sans cela l'accès ne respecte probablement pas la norme bancaire DSP2.
L'appli bancaire n'est pas aussi sûr si le smartphone est vérolé.
Là le boîtier est complètement hors ligne, donc pas de piratage possible (sauf si j'ai une camera/quelqu'un derrière mois, ou si quelqu'un à modifier/échangé mon boîtier pour y ajouter une antenne...).
[^] # Re: Boîtier sésame
Posté par quent57 . En réponse au journal BPCE et les paiements avec authentification à deux facteurs. Évalué à 10.
La protection est qu'il est indispensable de posséder la CB et de connaître son code pour faire un achat 3DS sur internet, le boîtier n'est qu'un intermédiaire, l'intelligence est dans la CB.
Le fonctionnement est que
1. j'introduis ma carte CB dans le boîtier,
2. je compose mon code confidentiel
3. le boîtier envoie le code à la CB,
3.1 si c'est erroné, j'ai cramé une tentative, et au bout de 3 c'est la CB qui est cramée (comme le ferait un distributeur de billets).
3.2 si c'est le bon la puce de la CB retourne un code
4. et le boîtier m'affiche code.
Donc, pour faire l'achat 3Dsecure, j'ai besoin :
- de posséder physiquement ma carte CB (pas juste une emprunte / une photo)
- de connaître le code (et je ne peux donc pas les essayer tous)
On a bien 2 facteurs nécessaires à l'authentification forte sur les 3 possibles :
1. Ce que je sais → L'authentifiant (mot de passe) -> le mot de passe CB
2. Ce que je possède → un certificat, un badge ou une carte à puce -> la CB
3. Ce que je suis → une empreinte biométrique
Cela me convient bien car j'exclue d'enregistrer mes empreintes biométriques dans mon smartphone (possiblement vérolé), (et de toute façon l'appli de la banque ne fonctionne pas sur mon smartphone sans googleapps).
Le code SMS seul, n'est pas forcément aussi sûr. Selon moi il peut ne respecter
- aucun des 3 point si le SMS est détourné sur le réseau
- uniquement le point 2. si le SMS s'affiche sans avoir besoin de déverrouiller le téléphone.
C'est probablement pour cela qu'il est complété par le mot de passe banque en ligne, sans cela l'accès ne respecte probablement pas la norme bancaire DSP2.
L'appli bancaire n'est pas aussi sûr si le smartphone est vérolé.
Là le boîtier est complètement hors ligne, donc pas de piratage possible (sauf si j'ai une camera/quelqu'un derrière mois, ou si quelqu'un à modifier/échangé mon boîtier pour y ajouter une antenne...).
Est-ce que j'ai répondu à la question ?