Gartner: A autenticação forte é insuficiente

Na Computerworld:

As medidas de segurança como one-time passwords e autenticação telefónica, consideradas as formas de segurança mais robustas, já não são suficientes para proteger as transacções bancárias online contra fraudes, segundo um relatório da Gartner (...)
Os ataques baseados em Cavalos de Tróia, do tipo man-in-the-browser1, estão a contornar a autenticação baseada em dois factores, suportada por one-time password tokens. Outras formas de autenticação forte, como as que são baseadas em smartcards e tecnologia biométrica, que dependem da comunicação do browser, são igualmente ultrapassáveis. (...)
Esta ameaça requer camadas de segurança adicionais em torno das transacções online. Como qualquer método de autenticação que depende do browser pode ser atacado e ultrapassado, os Bancos têm que começar a utilizar detecção de fraude para monitorizar comportamentos suspeitos nas transacções.

in Hackers are defeating tough authentication, Gartner warns.

Não é uma grande novidade: vai ao encontro daquilo que já tinha escrito anteriormente, e que voltei a apresentar na IBWAS na semana passada. Esta recomendação vai no sentido daquilo que já é realizado nas operações com cartões de crédito — a análise em tempo-real das transacções, procurando identificar padrões de utilização suspeitos.

1 Também designado por browser-in-the-middle.