Parliamo di app bancarie.

Spesso non funzionano sulle ROM custom/self compiled, o per farle funzionare serve sprecare tempo. Quasi mai funzionano su un telefono rootato/sbloccato senza workaround.

La pessima etica e illusa sicurezza di questi comportamenti mi fanno rattristare, ma vi chiedo di portarmi un po’ di gioia:

Qualcuno è a conoscenza di una banca che supporta una MFA standard come il TOTP?

Mi riferisco a FreeOTP e similari come Aegis Authenticator, Google Autheticator ecc…

Ignoriamo il fatto che molte banche offrono comunque un authenticator fisico, il poter avere l’MFA in un telefono “Multiuso” è secondo me un vantaggio imbattibile. Ma avere l’app della banca con all’interno sia password che OTP? Non scherziamo :)

  • diamond_shield@reddthat.comOP
    link
    fedilink
    Italiano
    arrow-up
    2
    ·
    edit-2
    1 year ago

    Già, altra cosa che non riesco assolutamente a capire.

    Se i dati biometrici vengono leakati, o qualcuno ottiene l’impronta digitale del mio dito, vuol dire che avranno accesso fino al resto della mia vita a tutto quello che ho?

    Ok che per la maggior parte hanno tutti 10 diti e nel caso posso usare un’altro dei 10, ma a questo punto è meglio una chiave fisica, che almeno può essere cambiata nel tempo.

    • OrthoStice@feddit.it
      link
      fedilink
      Italiano
      arrow-up
      2
      ·
      edit-2
      1 year ago

      Beh in realtà mi aspetto che sia memorizzato l’hash dell’impronta, non l’impronta stessa

      EDIT: Leggo inoltre (da thread su Reddit, quindi non necessariamente affidabile) che a quanto pare in base alla normativa PSD2 i TOTP per le transazioni devono riportare anche gli estremi (e.g. “stai autorizzando un pagamento di x euro a società y”), e l’unico modo che mi viene in mente per implementare questa soluzione sarebbe obbligare all’utilizzo dell’app della banca. Che potrebbe non essere necessariamente un male, ma visto che siamo su Feddit sottolineo ad esempio che l’app della mia non gira su GrapheneOS degooglata

    • ~/scaglio@feddit.it
      link
      fedilink
      Italiano
      arrow-up
      1
      ·
      1 year ago

      In teoria i dati biometrici dovrebbero risiedere solo sul dispositivo, mai in cloud… in teoria 👀

      • diamond_shield@reddthat.comOP
        link
        fedilink
        Italiano
        arrow-up
        1
        ·
        1 year ago

        Solamente l’hash è caricato si, però rimane comunque un identificatore univoco che non può essere mai cambiato in caso di compromissione