Am citit articolul dumneavoastra referitor la serviciul de Mobile B@nking al UniCredit Tiriac Bank, aparut pe blog pe 18 octombrie. Pentru ca nu ati incercat inca serviciul nostru, am dori sa facem cateva precizari in ceea ce priveste securitatea acestuia, astfel incat sa aveti o privire de ansamblu mai larga asupra subiectului in cauza.

Astfel:

–       comunicatia este criptata, folosind protocolul MSCP proprietar de criptare a datelor si este incapsulata in trafic HTTP, de aceea la autentificare se vede in clar comunicatia HTTP. Am facut aceasta alegere pentru a suporta si terminale mai vechi care nu puteau folosi protocolul HTTPS;
–       protocolul MSCP foloseste criptografie RSA pe 1024 biti pentru schimbul chei de sesiune, cat si criptare 3DES pe 128 biti pentru criptarea traficului dintre client si server;
–       codul PIN pentru accesul si semnarea tranzactiilor prin intermediul aplicatiei de Mobile B@nking nu este stocat si nici nu este transmis explicit prin comunicatie;
–       la semnarea platilor se utilizeaza doua metode: challenge-response si MAC, pentru adaugarea unui plus de securitate informatiilor transmise.

Speram ca informatiile de mai sus va sunt de ajutor si pentru orice alte informatii referitoare la acest produs sau la alte produce ale bancii noastre, va stam la dispozitie.

Va multumim,
Echipa UniCredit Tiriac Bank

Cu alte cuvinte se folosește HTTP peste tot, însă informațiile transmise sunt criptate. Oare cheile de criptare sunt stocate în codul aplicației?