Parliamo di app bancarie.
Spesso non funzionano sulle ROM custom/self compiled, o per farle funzionare serve sprecare tempo. Quasi mai funzionano su un telefono rootato/sbloccato senza workaround.
La pessima etica e illusa sicurezza di questi comportamenti mi fanno rattristare, ma vi chiedo di portarmi un po’ di gioia:
Qualcuno è a conoscenza di una banca che supporta una MFA standard come il TOTP?
Mi riferisco a FreeOTP e similari come Aegis Authenticator, Google Autheticator ecc…
Ignoriamo il fatto che molte banche offrono comunque un authenticator fisico, il poter avere l’MFA in un telefono “Multiuso” è secondo me un vantaggio imbattibile. Ma avere l’app della banca con all’interno sia password che OTP? Non scherziamo :)
Beh in realtà mi aspetto che sia memorizzato l’hash dell’impronta, non l’impronta stessa
EDIT: Leggo inoltre (da thread su Reddit, quindi non necessariamente affidabile) che a quanto pare in base alla normativa PSD2 i TOTP per le transazioni devono riportare anche gli estremi (e.g. “stai autorizzando un pagamento di x euro a società y”), e l’unico modo che mi viene in mente per implementare questa soluzione sarebbe obbligare all’utilizzo dell’app della banca. Che potrebbe non essere necessariamente un male, ma visto che siamo su Feddit sottolineo ad esempio che l’app della mia non gira su GrapheneOS degooglata
Non avevo mai pensato al fatto che, quando dall’APP autorizzo i pagamenti in effetti vengono mostrati i dati del ricevitore.
Interessante il PSD2 https://en.wikipedia.org/wiki/Payment_Services_Directive#Revised_Directive_on_Payment_Services_(PSD2)
Ironicamente, leggendo da Wikipedia tutto questo dovrebbe aiutare il concetto di “Open banking” XD
Quindi niente, servirebbe comunque un altro sistema separato per avere un sistema decente. Beh, la speranza è l’ultima a morire.