[ancape]

Hola

En determinado banco que opera por Internet o por teléfono, tienes una clave de 8 caracteres (números, letras mayúsculas o minúsculas, símbolos) de los cuales te piden 2 posiciones cuando quieres hacer alguna operación (por ejemplo una transferencia). Al otro lado del terminal, un informático del banco, de aviesas intenciones, es capaz de averiguar los caracteres que has introducido al hacer una transferencia pues el ordenador te pidió que le dieses los caracteres de las posiciones \( n,m \) de tu clave (lo mismo pasa si quieres hacer la transferencia por teléfono hablando con un operador).

¿Cuántas transferencias hay que hacer para que adivinen exactamente tu clave puedan vaciar tu cuenta sin que lo sepas?

Creo que con 28 transferencias bastan pero me parece un número muy pequeño para la seguridad que deben tener las transacciones bancarias. Si tengo razón sería conveniente que nos avisasen de que debemos cambiar la clave para cada operación que hagamos.

Saludos

[delmar]

Hola ancape

Si el ordenador genera las posiciones independientemente del informático del banco; podría darse el caso por ejemplo que genere siempre la 2 y la 4 y así nunca podría saber el informático con certeza la clave. Solo en el caso que, para cada transferencia se pida 2 posiciones distintas, sería 28.

Saludos

[ancape]

Hola ancape

Si el ordenador genera las posiciones independientemente del informático del banco; podría darse el caso por ejemplo que genere siempre la 2 y la 4 y así nunca podría saber el informático con certeza la clave. Solo en el caso que, para cada transferencia se pida 2 posiciones distintas, sería 28.

Saludos

delmar, no me expresé bien al decir que el operador averiguase la clave completa, lo que pretendía decir es que el operador conociese lo suficiente para poder hacer un movimiento en nuestra cuenta sin nosotros saberlo.

El el caso que dices, imagina que al otro lado del teléfono hay un operador que hace el movimiento que le pedimos cuando le proporcionamos 2 caracteres de la clave. Supongamos que nos pide las posiciones \( 2,4 \) de nuestra clave. Inmediatamente, en cuanto colgamos el teléfono, él intenta vaciar nuestra cuenta con una transferencia. Si su ordenador le pide las posiciones \( 2,4 \), ya las sabe, si no espera otra llamada. Como mucho tendrá que esperar 28 llamadas para vaciar nuestra cuenta.

Saludos

[delmar]

Considerando lo del operador, sí esta muy claro, sería 28.


Saludos

[Richard R Richard]

Hola

En determinado banco que opera por Internet o por teléfono, tienes una clave de 8 caracteres (números, letras mayúsculas o minúsculas, símbolos) de los cuales te piden 2 posiciones cuando quieres hacer alguna operación (por ejemplo una transferencia). Al otro lado del terminal, un informático del banco, de aviesas intenciones, es capaz de averiguar los caracteres que has introducido al hacer una transferencia pues el ordenador te pidió que le dieses los caracteres de las posiciones \( n,m \) de tu clave (lo mismo pasa si quieres hacer la transferencia por teléfono hablando con un operador).

¿Cuántas transferencias hay que hacer para que adivinen exactamente tu clave?

Creo que con 28 transferencias bastan pero me parece un número muy pequeño para la seguridad que deben tener las transacciones bancarias. Si tengo razón sería conveniente que nos avisasen de que debemos cambiar la clave para cada operación que hagamos.

No le veo dificultad ancape, seguro se me escapa algo de tu razonamiento, si cada vez que accedes das dos caracteres de los 8 posibles,  como mínimo en 4 accesos pueden tener toda tu clave.
Ahora bien si la elección de la posición de los dígitos resulta aleatoria, nadie te garantiza que no se pueda repetir el par, así que pueden pasar infinidad de intentos sin que te pidan ingresar algún carácter de una posición determinada,
Pero si yo fuera el banco, y que por presumir ya preveo que en mis filas estará el informático listillo, entonces solo pediré que de los 8 posibles caracteres que escojas de a par no los escoja el sistema de los 8 de la clave , sino de 7 o 6 de ellos, y jamás te pregunte por el o los restantes, asegurándose que el listillo no los pueda colectar todos de ese modo.

Lo que entiendo de tu calculo de 28 es que son las posibles combinaciones de dos elementos entre las 8 posiciones \( \binom{8}{2} \), pero nadie te garantiza  que alguna vez , sí o sí  se te pregunte por todas esas combinaciones, si te faltase uno de esos dígitos  creo que por cada carácter faltante hay cerca de 200 caracteres útiles al teclado para llenar una posición de la contraseña el forajido debe intentar 200 veces acceder con un carácter cada vez que falte una posición, \( 200^2 \) si nunca puede ver 2 ,  y tambien aproximadamente tienes  1 entre \( 200^2 \) de acertar al azar y acceder a la información de quien no le conoces la clave, que no son pocos intentos.

Saludos

[ancape]

......

Ahora bien si la elección de la posición de los dígitos resulta aleatoria, nadie te garantiza que no se pueda repetir el par, así que pueden pasar infinidad de intentos sin que te pidan ingresar algún carácter de una posición determinada,
Pero si yo fuera el banco, y que por presumir ya preveo que en mis filas estará el informático listillo, entonces solo pediré que de los 8 posibles caracteres que escojas de a par no los escoja el sistema de los 8 de la clave , sino de 7 o 6 de ellos, y jamás te pregunte por el o los restantes, asegurándose que el listillo no los pueda colectar todos de ese modo.
......

Perdona Richard
Como le dije a delmar antes, lo que pretendía decir no es averiguar la clave sino saber si el operador puede operar fraudulentamente. Ya lo he corregido en mi exposición original.

Saludos

[Luis Fuentes]

Hola

Perdona Richard
Como le dije a delmar antes, lo que pretendía decir no es averiguar la clave sino saber si el operador puede operar fraudulentamente. Ya lo he corregido en mi exposición original.

Pero yo estoy de acuerdo con Richard, no acabo de ver sentido a lo de \( 28 \).

- Si los dos números que nos piden son al azar, pudiera ser que en \( 28 \) llamadas se hubiesen repetido parejas y otras quedasen por salir, y por tanto al timador le pidiesen dos números que nunca hayan salido antes. Con este enfoque nunca podrá garantizar que no ha quedado alguna pareja sin salir, por más que repita llamadas. Aunque es cierto que la probabilidad de que salgan todas las posibles parejas tiende a uno, y por tanto cuantas más llamadas más probable que pueda hacer el fraude. Pero nada de \( 28 \) desde luego.

- Si pensamos que NO se repiten parejas hasta que no quede mas remedido, o pensamos en cuantas llamadas con parejas distintas necesita, tampoco serían \( 28 \). El número máximo de parejas que dejan al menos 1 caracter sin descubrir son las parejas con \( 7 \) elementos, es decir, \( \displaystyle\binom{7}{2}=21 \); por tanto en cuanto sabemos los números de \( 22 \) parejas distintas, necesariamente nos han descubierto los \( 8 \) caracteres y por tanto ya podemos saber cualquier pareja. Así que con esta interpretación tampoco sería \( 28 \).

Saludos.

[feriva]

Hola

En determinado banco que opera por Internet o por teléfono, tienes una clave de 8 caracteres (números, letras mayúsculas o minúsculas, símbolos) de los cuales te piden 2 posiciones cuando quieres hacer alguna operación (por ejemplo una transferencia). Al otro lado del terminal, un informático del banco, de aviesas intenciones, es capaz de averiguar los caracteres que has introducido al hacer una transferencia pues el ordenador te pidió que le dieses los caracteres de las posiciones \( n,m \) de tu clave (lo mismo pasa si quieres hacer la transferencia por teléfono hablando con un operador).

¿Cuántas transferencias hay que hacer para que adivinen exactamente tu clave puedan vaciar tu cuenta sin que lo sepas?

Creo que con 28 transferencias bastan pero me parece un número muy pequeño para la seguridad que deben tener las transacciones bancarias. Si tengo razón sería conveniente que nos avisasen de que debemos cambiar la clave para cada operación que hagamos.

Saludos

Sí, yo creo que sí (a partir de lo que explicas a Delmar; si es que entendido).

El operador pide los caracteres de dos posiciones de la clave de firma; supongamos 1ª y 3ª.

Acto seguido, cuando el cliente cuelga, el pirata llama suplantando al cliente para intentar sacar el dinero de la cuenta; le piden los números de dos posiciones. Si diera la casualidad de que le pidieran los de las mismas posiciones, entonces desvalijaría al cliente (tampoco será tan fácil, pues, entre otras cosas, antes tiene que saberse la clave de usuario y, además, mandan un sms al teléfono del dueño de la cuenta informándole del movimiento. Pero vale como problema).

Si no son las posiciones 1ª y 3ª, puede decir, “espere un momento, que tengo que mirarlas, después vuelvo a llamar”.

De esta manera ya se sabe esa combinación, esa pareja y, en cualquier otra llamada que se la pidieran, se haría con el dinero.

Es decir, o en algún momento le piden una combinación que ya conoce o bien le piden una nueva. Por tanto, puede no salir nunca una combinación, pero si ocurre eso es que se han repetido otras.

Así que serán combinaciones sin repetición, porque no importa el orden, de ocho elementos tomados de dos en dos, 28.

*Pero ya digo que piden más cosas, no sólo la clave de firma; y además recomiendan cambiar la clave cada cierto uso.

Saludos.

[ancape]

......

Sí, yo creo que sí (a partir de lo que explicas a Delmar; si es que entendido).

El operador pide los caracteres de dos posiciones de la clave de firma; supongamos 1ª y 3ª.

.... antes tiene que saberse la clave de usuario y, además, mandan un sms al teléfono del dueño de la cuenta informándole del movimiento. Pero vale como problema).

Lo de mandar el SMS es actual. Antes de 2015 o así no enviaban nada y bastaba con la clave de firma. En todo caso, como es un problema teórico, podrían, como indica Luis, darse casos en que no hubiese desfalco posible. Por ejemplo, si se repite la petición de caracteres cada 2 veces pero no en la siguiente (cosa improbable pero no imposible) tendríamos que el usuario le piden 2 caracteres, los da y hace la operación . El operador pillo trata de hacer el desfalco pero le piden 2 caracteres que no son los anteriores y cuelga. El usuario vuelve a hacer otra transacción y le piden 2 caracteres que son los mismos que la primera vez. Se sorprende de la casualidad pero no le da más importancia. El operador trata de vaciar la cuenta y le piden 2 caracteres pero es un par que no le salió al usuario legal. Fracasa. Así sucesivamente, lo único que observa el usuario legal es que siempre le piden lo mismo y tal vez lo único que haga es mosquearse. Si yo fuera el operador defraudador, al observar que cada 2 veces se piden las mismas posiciones, haría dos intentos seguidos.

Sean 21,28,.... los casos posibles, veo bastante fácil vaciar la cuenta de un cliente con el método de los dos caracteres de la clave de firma, salvo que ésta se cambie frecuentemente. La comprobación añadida de enviar un sms tampoco resuelve el problema pues para un operador que accede a tu cuenta para hacer una transferencia, le es fácil cambiar el número de teléfono de contacto y así hacer que los sms se envíen donde él quiera.
Conclusión provisional: Hay que cambiar la clave de firma muy frecuentemente si se hacen transferencias u otros cargos

Saludos

[Luis Fuentes]

Hola

 Esto ya se sale del tema matemático.

 ¿Pero hay realmente hoy en día algún banco que opere así?. Yo escaparía corriendo. Norma número uno hoy en día NO DAR NINGUNA CLAVE por teléfono. Desde luego el sistema que describes no se parece en NADA a los sistemas que conozco hoy en día, bastante más seguros.

Saludos.