Domanda:
Is a 6 digit numerical password secure enough for online banking?
mika
2016-05-31 18:06:09 UTC
view on stackexchange narkive permalink

La mia banca ha recentemente subito un'importante riprogettazione del sistema bancario online dei suoi clienti. È stato anche esaminato il modo in cui viene gestita la sicurezza sulla piattaforma. La password che sono in grado di impostare ora per accedere è costretta a essere lunga 6 cifre, numerica .

Ciò va molto contro ciò che ho pensato per essere un criterio per le password sicure. D'altro canto, confido che la mia banca sappia cosa sta facendo.

Potreste aiutarmi a capire quanto è valida questa politica?

  • Rispetto alle pratiche comuni nel settore.
  • Da un punto di vista più generale della sicurezza IT.
  • Come cliente: quanto dovrei essere preoccupato che il mio account possa essere facilmente compromesso?

Note:

  • L'utente è il numero della carta d'identità, che è quasi dati pubblici.
  • Qualcuno che accede al mio account non è ancora in grado di effettuare un pagamento prima che passi attraverso un altro meccanismo di sicurezza (che presumiamo sia valido).
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/40740/discussion-on-question-by-mika-is-a-6-digit-numerical-password-secure-enough-per).
molte banche utilizzano pin a 4 cifre
@LưuVĩnhPhúc Ma quel PIN di solito è utile solo se hai la carta con cui è associato, quindi non è proprio una situazione paragonabile.
Non capisco perché le istituzioni finanziarie di solito abbiano i requisiti di password peggiori (meno sicuri).Limitare la lunghezza della password, richiedere l'utilizzo solo di numeri, ecc.
Non mi preoccupa nemmeno la lunghezza di questa password, ma più per il fatto * che esiste solo una password *.In Svizzera ogni singola banca con cui ho avuto a che fare aveva una forte forma di 2FA in atto ... pensavo che fosse uno standard del settore ...
Tredici risposte:
perfectionist
2016-05-31 19:36:54 UTC
view on stackexchange narkive permalink

Una password numerica di 6 cifre non fa molto.

Perché 6 cifre?

Troy Hunt ha un eccellente blog sull'essere costretti a creare password deboli in cui parla di varie cattive pratiche, inclusa la forzatura di password numeriche brevi e propone la scusa spesso usata che

"Vogliamo consentire alle persone di utilizzare la stessa password sulla tastiera del telefono"

L'unico motivo valido per richiedere una password solo numerica è che l'unico input disponibile per un utente è numerico (ad esempio con gli sportelli automatici); (allo stesso modo, l'unico motivo valido per richiedere una password leggibile dall'uomo è che un essere umano la leggerà, il che sarebbe un brutto segno se fosse usato non solo per operazioni bancarie telefoniche, ma anche per il sito web) .

Ma se questo è il motivo, perché mai ti costringerebbero a utilizzare lo stesso codice di accesso non sicuro online (o su dispositivo mobile), quando hai accesso a una tastiera qwerty completa?

Quanto è facile entrare con la forza bruta?

Ci sono 10 6 possibili password composte da 6 cifre.

Per un attaccante inesperto, ottenere nel tuo account non è affatto un problema se hanno il tuo nome utente e tentativi illimitati. Dovresti presumere che abbiano il tuo nome utente. I nomi utente non sono segreti.

Supponiamo che la banca ci abbia pensato e che blocchi ogni account dopo 3 tentativi sbagliati, o forse avvii un'opzione di limitazione del robot come un captcha per riprova dopo. Quindi l'attaccante ha ancora 3/1000000 di possibilità di accedere a un account casuale all'interno di quella finestra.

Ciò significa che se attacca 1000000 account, può aspettarsi di entrare in 3 e fare 3000000 richieste no richiede molto tempo.

Confrontalo con quante password ci sono con 6 caratteri alfanumerici (per la maggior parte degli standard di sicurezza, troppo brevi e non abbastanza complesse).

Ci sono 62 6 = 56800235584 possibili password alfnumeriche di 6 caratteri. È ancora troppo debole ma è già 56800 volte più forte!

Archiviato in modo sicuro?

Inutile dire che se il database dell'utente è stato violato, 10 6 le possibili password sono un'entropia ridicolmente bassa e qualunque sistema di hashing e salting che hanno usato, non possono mantenere il tuo passcode sicuro.

Il piano della tua banca in caso di violazione del database è presumibilmente per rotolare e piangere. Forse pensano che il risultato sia così negativo che semplicemente non lo pianificheranno.

Supponendo che l'altro metodo di autenticazione sia sicuro, dovrei preoccuparmi?

Un malintenzionato che vede le tue finanze la storia è davvero un grosso problema; dovresti essere preoccupato anche se l'altro metodo di autenticazione che blocca i trasferimenti è sicuro. E non dovresti aspettarti che l'altro metodo sia sicuro.

Quante altre informazioni vengono trapelate su di te senza il secondo metodo di autenticazione? Il tuo nome, indirizzo, e-mail, forse?

Questi sono più che sufficienti per iniziare a fare ricerche di base su di te, per ottenere informazioni aggiuntive: potrebbero essere indizi per la tua altra password o informazioni efficaci su come phishing. Potrebbero provare a chiamarti, usando le informazioni che hanno su di te finora per guadagnare la tua fiducia, fingendo di essere la banca e inducendoti a rivelare altri segreti su di te con uno stratagemma che devi autenticare a loro rispondendo agli ultimi domande di cui hanno bisogno per accedere al tuo account.

Come altro esempio, se il secondo metodo di autenticazione è una password complessa , ma tu (e per la maggior parte dei clienti il ​​"tu" non sei esperto di tecnologia) ma il cliente ha mai stato incluso in una violazione del database per un altro sito Web in cui utilizzavano lo stesso nome utente / e-mail e password, quindi il gioco è finito. - Questa logica si applica a qualsiasi sistema basato su nome utente / password, ma è particolarmente rilevante in questo caso perché l'aggressore è in grado di scoprire altre informazioni su di te esposte dal primo metodo di autenticazione non sicuro e perché la seconda password è ora l'unica ostacolo all'accettazione dei tuoi soldi: questo è uno dei motivi per cui lo standard del settore richiede un'autenticazione a due fattori sui siti web bancari prima di mostrare qualsiasi cosa all'utente.

standard di settore; la mia banca ha una password di lunghezza massima con la possibilità di accettare caratteri speciali, quindi seguirla con un secondo codice di accesso che può essere inserito solo selezionando alcune lettere da una serie di menu a discesa (quindi il l'intero 2 ° passcode non viene utilizzato in un unico tentativo).

Preferirei che la mia banca usasse un 2 ° fattore di autenticazione fuori banda; come un codice inviato al mio telefono.

Dichiarazione di non responsabilità: non un esperto di sicurezza.Solo uno sviluppatore regolare che legge ** molto ** sulla sicurezza.La maggior parte delle mie opinioni qui sono supportate dal blog di Troy Hunt.
sullo spazio di archiviazione, se si tratta di una banca, è molto probabile che utilizzino un HSM per l'archiviazione delle password.A meno che non abbiano commesso errori atroci nella gestione, compromettere la password crittografata (sì crittografata non hash) non ti aiuterebbe molto, quindi quella parte della tua risposta probabilmente non è corretta (o almeno ti mancano informazioni sufficienti per raggiungere ilconclusione che hai raggiunto)
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/40617/discussion-on-answer-by-perfectionist-is-a-6-digit-numerical-password-secure-eno).
> Il piano della tua banca in caso di violazione del database è presumibilmente quello di ribaltarsi e piangere.Forse pensano che il risultato sia così negativo che non lo pianificheranno.** La finanza (e le banche) sono tutte incentrate sulla gestione del rischio. ** Il settore bancario è un settore fortemente regolamentato (Basilea a livello internazionale, SOX, leggi e regolamenti nazionali).Qualsiasi banca con una gestione del rischio infantile come "ribaltarsi e piangere" non sarebbe nemmeno autorizzata a operare, tanto meno sopravvivere a qualsiasi tipo di auditing (e subiscono auditing tutto il tempo).
@Mindwin È un bel conforto da avere, ma una volta che inizi a lavorare con qualsiasi sistema bancario, tutte le scommesse sono annullate.Una delle più grandi banche in Brasile ha un browser sandbox virtualizzato super potente per consentire ai clienti di accedere al proprio account.I partner di questa banca ricevono ogni giorno una copia parziale del database in file di testo.Per e-mail.Una volta ho dovuto fare un lavoro per loro come sviluppatore e dopo questo ho spostato silenziosamente il mio account da qualche altra parte.
@ThalesPereira il tuo commento è dannoso.Primo, ** mancanza di etica ** perché non dovresti doxx i tuoi clienti.Non dici chi è il tuo cliente, ma qualsiasi hacker di 10 anni può scoprirlo (da solo quello che hai detto sopra posso restringerlo a due o tre società).In secondo luogo, i database bancari hanno diversi livelli di autorizzazione di sicurezza.Quali database vengono inviati tramite e-mail?Sono pubblici o semi-pubblici?L'allegato e-mail è sicuro?Senza conoscere le circostanze, il tuo commento diventa una campagna diffamatoria.Un lettore può avere l'impressione sbagliata che l'intero sistema bancario di un paese del G20 sia una schifezza.
@Mindwin Onestamente, penso che tu stia vedendo molto di più sul mio commento di quanto valga.Il mio paese ha più di 120 _enorme_ banche, quindi il mio commento non è così specifico, comunque.Eppure no.Gli allegati non sono sicuri.Sono solo semplici file di testo.È stato vergognoso per me lavorare con loro.Comunque, tieni presente che non sto dicendo che tutte le banche sono così.
paj28
2016-06-01 02:14:52 UTC
view on stackexchange narkive permalink

Insolito? Sì. Pazzo? No. Continua a leggere per capire perché ...

Mi aspetto che la tua banca abbia una forte politica di blocco, ad esempio tre tentativi di accesso errati bloccano l'account per 24 ore. In tal caso, un PIN a 6 cifre non è così vulnerabile come potresti pensare. Un utente malintenzionato che ha provato tre PIN ogni giorno per un anno intero, avrebbe comunque solo lo 0,1% di possibilità di indovinare il PIN.

La maggior parte dei siti web (Facebook, Gmail, ecc.) Utilizza indirizzi email o utenti -nomi selezionati come nome utente e questi sono facilmente indovinabili dagli aggressori. Tali siti tendono ad avere una politica di blocco molto più rilassata, ad esempio tre blocchi di accesso errati per l'account per 60 secondi. Se avessero una politica di blocco più forte, gli hacker potrebbero causare tutti i tipi di problemi bloccando le persone legittime fuori dai loro account. La necessità di proteggere gli account con una politica di blocco rilassata è il motivo per cui insistono su password complesse.

Nel caso della tua banca, il nome utente è un numero di 16 cifre, il numero della tua carta. In genere mantieni privato il numero della tua carta. Certo, lo usi per le transazioni con carta (online e offline) ed è nel tuo portafoglio in chiaro, ma è ragionevolmente privato. Ciò consente alla banca di avere una politica di blocco più rigorosa senza esporre gli utenti ad attacchi denial of service.

In termini pratici, questa disposizione è sicura. Se il tuo compagno di casa trova la tua carta, non può accedere al tuo account perché non conosce il PIN. Se un hacker tenta di hackerare in blocco migliaia di account, non può perché non conosce i numeri delle carte. La maggior parte delle violazioni degli account si verifica a causa di phishing o malware e un PIN di 6 cifre non è più vulnerabile a tali attacchi di una password molto lunga e complessa. Sospetto che la tua banca non abbia più problemi di sicurezza quotidiani rispetto ad altre banche che utilizzano password normali.

Hai detto che le transazioni richiedono l'autenticazione a più fattori. Quindi il rischio principale di un PIN compromesso è che qualcuno possa visualizzare i tuoi dati bancari privati. Potrebbero vedere il tuo stipendio e la tua storia di acquisti fraudolenti. Alcune persone hanno affermato che un PIN a 6 cifre è banalmente vulnerabile a un attacco di forza bruta offline. Quindi, se qualcuno rubasse il database, potrebbe decifrare il tuo hash e ottenere il tuo PIN. Anche se questo è vero, non ha molta importanza. Se hanno violato il tuo PIN potrebbero accedere e vedere la tua cronologia bancaria, ma non effettuare transazioni. Ma in quello scenario possono comunque vedere la tua storia bancaria - hanno già rubato il database!

Quindi, sebbene questa disposizione non sia tipica, sembra che non sia poi così folle dopo tutto. Un vantaggio che potrebbe avere è che le persone non riutilizzeranno la stessa password su altri siti. Sospetto che lo abbiano fatto per motivi di usabilità: le persone si sono lamentate di non ricordare le password lunghe e complesse richieste in precedenza dal sito.

Un utente malintenzionato con accesso a un elenco di nomi utente PU aspettarsi in media di accedere a 3 account dopo aver tentato di sbloccare 1000000 utenti.Quindi cosa succede se il tuo account personalmente ha solo 3/1000000 di possibilità di essere sbloccato al primo tentativo?Sicuramente non puoi perdonare quanto sia facile per un attaccante sbloccare semplicemente account casuali?
@perfectionist Questo è un argomento di paglia.La maggior parte delle banche competenti ha probabilmente un metodo di blocco basato su IP che blocca gli attacchi non distribuiti su accessi non riusciti consecutivi.Un hacker con accesso a mille IP e non riesce a 10 accessi su ciascun IP, ha solo l'1% di possibilità di accedere casualmente a un account.Inoltre, la risposta ha già affermato chiaramente che l'altro fattore (il nome utente) non è noto ai potenziali aggressori, quindi il tuo scenario non è probabile.
@MarchHo Una probabilità dell'1% in queste condizioni è ** ENORME **.Chiunque abbia una botnet di medie dimensioni (o l'accesso a un sistema IT di un campus universitario) è fondamentalmente garantito per entrare in pochi account in un breve lasso di tempo.Non vedo come questo non sia ovvio.
Penso che tu faccia un punto: la forte politica di blocco è dove sta la differenza principale.La maggior parte delle spiegazioni che dettagliano la sicurezza della password in base all'entropia presumono che tu abbia la possibilità di provare molte password.In questo contesto, questo non può essere fatto subito ...
E solo per chiarire un dettaglio: il nome utente è il numero della mia carta d'identità (nazionale) personale, non il numero della mia carta di credito.Tuttavia, non fa una grande differenza.
@mika A seconda di quale cultura c'è sul mantenere segreto il numero della tua carta d'identità nel tuo paese, direi che potrebbe fare una grande differenza.Quasi tutte le persone sanno che il numero della tua carta di credito dovrebbe essere tenuto segreto, c'è la stessa cultura sui numeri delle carte d'identità?
@Anders Non sono a conoscenza del fatto che il numero della mia carta d'identità possa apparire ovunque sul web.Non lo considero un segreto, però.Ho avuto la possibilità di vedere elenchi di numeri di carta d'identità di altre persone accompagnati dai loro nomi nei risultati per i servizi del settore pubblico, ad esempio.
@perfectionist - Quindi come potrebbe qualcuno ottenere un elenco di 1000000 nomi utente?
Violazione dei dati del governo @paj28?Violazione dei dati in qualsiasi altra organizzazione che li memorizza anche?Aggregazione di fonti disponibili pubblicamente?La domanda li specifica come "dati quasi pubblici".
@paj28 Se la sicurezza del tuo sistema dipende dal fatto che "dati quasi pubblici" non siano pubblici, il tuo sistema non è sicuro.
Numeri di carte di credito / numeri di identificazione nazionali / nomi utente / qualsiasi cosa non verranno archiviati in una forma irreversibile nei database e quindi potrebbero essere scoperti attraverso una debolezza nel sito Web della banca o attraverso fughe di notizie esistenti.Non dare per scontato che queste informazioni non siano ottenibili.
Avrei detto l'esatto opposto "Insolito? No. Pazzo: Sì."
Questa è una cattiva pratica costruita su un modello di minaccia scadente.il perfezionista ha una risposta molto migliore.
@Fernando - Dire solo "cattiva pratica" non significa molto.Puoi spiegare perché hai questa opinione?
@paj28 si prega di leggere la risposta fornita dal perfezionista.Il suo suggerimento di leggere di più sul blog di Troy Hunt ti darebbe anche maggiori informazioni. La versione breve è che introduce rischi inutili e fa supposizioni errate. Ad esempio: "Un utente malintenzionato che ha provato tre PIN ogni giorno per un anno intero, avrebbe comunque solo lo 0,1% di possibilità di indovinare il PIN".questo è un rischio sostanziale.Meno nel modello di minaccia presunta mirata, ma molto pericoloso nel modello di attacco globale in cui vengono presi di mira più account.
@Fernando - L'ho letto prima di pubblicarlo.Sono d'accordo che questo sistema introduce dei rischi, ma il punto è che è a basso rischio (il perfezionista implica che è ad alto rischio).Parli di un attacco a tappeto, che si basa su una violazione dei dati per il numero ID e non consente la frode.Anche se immagino che sia una valida minaccia teorica, non è qualcosa che accade nella pratica (almeno, quando sono stato nel settore bancario l'ultima volta) e non c'è un vero motivo per cui i truffatori lo facciano.
Ci sono due input qui secondo te (1) il nome utente è un numero di 16 cifre - il numero della tua carta.(2) l'altro è un pin a 6 cifre.I numeri di carta di credito vengono acquistati banalmente e accessibili in grandi quantità a causa di sfortunate quantità di scrematura delle carte.Ciò significa che c'è una quantità ragionevole di (1).6 cifre è un codice di accesso banalmente piccolo e se moltiplichiamo il rischio di ottenere (1) e indovinare (2) insieme hai una discreta possibilità di violazione.Puoi fare un po 'di matematica per trovare una stima del rischio, ma mi sembra significativo.
Se vuoi una banca che ignori le migliori pratiche, vai avanti, ma le eviterò se @mika ci dice chi sono: D
Anders
2016-05-31 18:34:53 UTC
view on stackexchange narkive permalink

Risposta originale

Questa è una cattiva, cattiva politica. Ci sono solo 10 6 o un milione di numeri diversi a 6 cifre. È così poco.

È quasi impossibile prevenire un attacco di forza bruta offline, indipendentemente dalla lentezza di un algoritmo di hashing che utilizzi. Se un tentativo richiede 1 secondo, creerai una password in 11 giorni. Potrebbe anche essere troppo poco per fermare completamente un intelligente attacco di forza bruta online, se l'attaccante può utilizzare più IP (ad esempio, dal controllo di una botnet) e ha molti numeri di carta diversi su cui provare.

Questo è aggravato dal fatto che, proprio come con le password ordinarie, la maggior parte delle persone non le sceglie a caso. 123456 è destinato a comparire molto, così come i numeri che rappresentano le date. In pratica, la maggior parte delle password avrà molto meno di 6 × log 2 (10) ≈ 20 bit di entropia.

Non vedo ragioni per cui non dovresti essere autorizzato a scegliere una password più complessa. Questa pratica invia il segnale che semplicemente non si preoccupano della sicurezza. Mi fa anche sospettare che da qualche parte nel loro database ci sia un NUMBER (6) invece di un hash memorizzato.

Che i pagamenti non possono essere eseguiti senza un altro fattore di autenticazione è un po 'confortante, ma non molto. Un utente malintenzionato potrebbe ancora vedere la cronologia del tuo account, qualcosa che potrebbe contenere informazioni molto sensibili e anche essere utilizzato per il phishing.

Anche se probabilmente non verrà mai utilizzato contro di te, se fossi in te, prenderei in considerazione la possibilità di cambiare a una nuova banca. Preferibilmente uno che richiede l'autenticazione a due fattori all'accesso.

Ulteriori commenti

Ci sono state alcune discussioni nei commenti e sono spuntate alcune buone risposte con un'altra vista, quindi vorrei elaborare e rispondere ad alcune critiche.

Ma i nomi utente sono segreti!

Secondo la domanda, i numeri di carta d'identità (da non confondere con i numeri di carta di credito) sono "quasi pubblici", e OP ha chiarito nei commenti di averne visti elenchi come "risultati per i servizi del settore pubblico". In altre parole, i nomi utente non sono segreti . E non dovrebbero esserlo: se la sicurezza del tuo sistema si basa sul fatto che i nomi utente sono segreti, stai sbagliando.

Il limite di velocità per account e / o numero IP prenditi cura di questo.

Un attacco di forza bruta distribuito, ad esempio, utilizzando una botnet, avrebbe una buona possibilità di rompere alcuni account. Supponiamo che tu abbia 10.000 computer e che ogni computer collauda 3 password al giorno durante un mese su account diversi. Si tratta di circa 10 6 tentativi. Questo ti darà in media un account se le password sono veramente casuali. Nel mondo reale, otterrai molto, molto di più.

Certo, la banca potrebbe teoricamente avere un sistema sofisticato per rilevare e difendersi da attacchi come questo. Forse sì forse no. In qualità di cliente, non ho modo di saperlo e di certo non mi fido di un'organizzazione che non è nemmeno in grado di ottenere la politica delle password giusta per fare qualcosa di più avanzato.

Un attacco offline è irrilevante . Se le password sono fuori uso, lo sono anche i dati sensibili che stanno proteggendo.

Forse, forse no. Ci sono molti dump di dati che fluttuano su Internet con dati incompleti. Affermare che le password saranno incollate per sempre alla cronologia del tuo account fa alcune ipotesi molto forti su come si è verificata la violazione e su come i dati sono stati gestiti in seguito.

Il PIN della tua carta di credito è di sole quattro cifre, quindi che importanza ha?

Il PIN della carta di credito è un fattore debole nell'autenticazione a due fattori. L'altro fattore, il possesso della carta, rende il sistema più forte.

Questa password è un fattore debole ed è anche l'unico fattore che protegge le tue informazioni finanziarie.

Conclusione

Per essere chiari, non sto dicendo che sarebbe impossibile per una banca rendere sicuro questo sistema con altri mezzi. Non sto dicendo che un attacco riuscito all'account di qualcuno sia probabile, ancor meno al tuo in particolare. Quello che sto dicendo è che questo non è "abbastanza sicuro" per una banca.

La banca ha già affrontato il problema di impostare l'autenticazione a due fattori per i trasferimenti finanziari. Perché non usarlo solo per i login?

La banca (si spera) ha già affrontato il problema di hashing una password e di memorizzarla in un database. Perché non rimuovere semplicemente la parte del codice che limita la password a sei cifre?

Forse la banca memorizza i dati in testo normale e limita la lunghezza della password * per liberare spazio sul proprio HD *.So che è ridicolo, ma altre possibili spiegazioni (pura pigrizia, falso senso di sicurezza, ecc.) Sono almeno altrettanto ridicole, considerando che si tratta di un sito bancario.
@A.Darwin un'altra semplice spiegazione è che vogliono che la stessa password venga utilizzata tramite l'ATM o un sistema simile con vincoli di input.Spaventoso, comunque.
Non ha senso considerare un attacco offline contro una banca perché i PIN della carta di credito possono essere ancora più brevi e il modello di sicurezza presuppone implicitamente che il database in cui sono archiviate queste credenziali non verrà scaricato.Dopo tutto, la banca è responsabile per qualsiasi perdita di denaro a meno che non possa dimostrare che il cliente non è stato attento con la sua password.Lo avranno ponderato rispetto al costo relativo al fatto che il cliente dimentica una password complicata prima che venga presa questa decisione.
@billc.cn Se dovessi indovinare la password per la pagina web e il PIN effettivo della carta risiede in sistemi completamente separati, quindi il furto di uno non implica che l'altro lo sia.
@Anders Qualsiasi banca avrebbe senza dubbio speso molti sforzi e denaro per progettare, implementare e forse certificare il sistema di archiviazione PIN.Quando arriva l'online banking, nessuno sano di mente progetterebbe un sistema completamente diverso.Copieranno tutto ciò che possono e si assicureranno che entrambi i sistemi siano ugualmente sicuri.Meno sarà negligenza e la banca non sarebbe in grado di difendersi in caso di violazione del sistema bancario online.
@billc.cn Questo è un presupposto che non mi sento a mio agio, soprattutto non per un'organizzazione che non consente agli utenti di scegliere password complesse.Inoltre, i requisiti di sicurezza per entrambi i sistemi sono abbastanza diversi.
I pin per le carte non sono un rischio così grande, poiché qualcuno ha bisogno di ottenere la mia carta E il pin, quindi solo ottenere il mio pin è meno dannoso che ottenere il mio nome utente e la password per l'internet banking.
Mi piace quello che hai detto su come "la maggior parte delle persone non sceglie [password] a caso".Il fatto che gli esseri umani scelgano le 6 cifre si aggiunge alla debolezza delle password.La probabilità di indovinare la password corretta per un account sarà probabilmente maggiore di 1/10 ^ 6 quando si provano "000000" o altre password di uso comune.
Le banche identificheranno rapidamente e bloccheranno le attività sospette.Un hacker otterrebbe solo pochi tentativi prima che l'account venga bloccato.Dopo essere stato bloccato, non verrà sbloccato fino a quando l'utente non contratta la banca per telefono.
@user1751825 Queste sono tutte cose che stai pensando a questa banca in particolare.Difendersi da un attacco distribuito su più account non è facile.
@Anders L'altra cosa da considerare è ciò che l'hacker può effettivamente fare con un conto bancario online, una volta che ha effettuato l'accesso. La maggior parte dei sistemi bancari online consente solo il trasferimento di denaro tra conti o l'invio a destinatari pre-approvati.L'aggiunta di nuovi destinatari di solito richiede l'autenticazione a 2 fattori, utilizzando un telefono cellulare.
@user1751825 Lo affronta nella mia risposta: "Un utente malintenzionato potrebbe ancora vedere la cronologia del tuo account, qualcosa che potrebbe contenere informazioni molto sensibili ed essere utilizzato anche per il phishing."
Un numero di conto non è davvero un segreto, viene rivelato su ogni assegno che scrivi.
duper51
2016-06-01 07:52:42 UTC
view on stackexchange narkive permalink

Opinione contraria: attenzione

È molto probabile che tu come utente non sia stato messo a conoscenza di altre misure di sicurezza messe in atto dalla tua banca di fronte del tuo PIN. So che per quanto riguarda CapitalOne360, che ha un simile sistema di pin a 4-6 cifre, sono rimasto scioccato! Ma dopo un po 'di utilizzo del PIN sullo stesso computer, ho finalmente bisogno di accedere su una macchina alternativa (IP diverso, browser diverso). Dopo averlo fatto, mi aveva effettivamente chiesto una password . Non solo questo, ma dopo aver inserito con successo la password mi ha anche richiesto il mio PIN come bonus.

Dopo alcune ricerche, ho scoperto che il browser richiede una password solo quando l'utente visita per la prima volta il sito e riceve una sorta di cookie di autenticazione. Una volta che l'account utente è considerato attendibile per la combinazione IP / Cookie di quella macchina, consente l'accesso senza password e solo con PIN. Ma la prima volta che l'utente accede, È obbligato a inserire una password. Potresti semplicemente non essere a conoscenza della pratica ( com'ero ).

Trovo incredibilmente improbabile che una banca che ha già un sistema di password funzionante lo cacci completamente per un Solo 6 cifre, numero PIN numerico. Le aziende possono forse sembrare stupide, ma considerando che un'autenticazione a 6 cifre infrange il buon senso, così come gli standard PCI, dubito sinceramente che questa sia l'unica autenticazione presente. Forse il poster originale può far luce su questo aspetto nel caso mi sia perso qualcosa.

Questo è piuttosto interessante.Indagherò ulteriormente ...
+1;altre misure di sicurezza come il controllo del dispositivo da cui hai effettuato l'accesso potrebbero renderlo più sicuro, sì.
Un aggressore determinato potrebbe comunque entrare nel tuo account a tua insaputa.Avrebbero solo bisogno di guardarti inserire il tuo PIN, quindi farlo da soli sulla stessa rete su cui eri una volta uscito.Sembra noioso e improbabile, ma considera che la motivazione dell'aggressore è il contenuto del tuo conto bancario.Supponendo che tu abbia almeno $ 5000, un utente malintenzionato deve solo entrare in altri 9 account in modo simile e avere una discreta quantità di denaro con cui vivere.Trovare obiettivi è semplice come seguire le persone fuori dall'edificio della banca.
John Wu
2016-06-01 06:59:11 UTC
view on stackexchange narkive permalink

Una password numerica a 6 cifre è abbastanza sicura per l'online banking?

No, non lo è, non solo per la capacità di un utente malintenzionato di violare un tale meccanismo di autenticazione , ma perché viola gli standard di conformità PCI-DSS e la guida FFIEC sull'autenticazione. Inoltre, l'autenticazione a più fattori è stata richiesta dalla guida FFIEC dal 2006.

Sono abbastanza sicuro che ti manchi qualcosa nell'esame del tuo sito web, cioè lì possono essere fattori di autenticazione aggiuntivi che si attivano solo in determinate circostanze, ad es se cambi il tuo dispositivo o indirizzo IP. O quello, o non stai effettivamente scrivendo di un vero sito web di banking online, ma di un sito di assistenza finanziaria di terze parti (che probabilmente smetterei di usare se fossi in te).

Per chiarire agli utenti non statunitensi, [modificherei] la tua risposta per dire legge statunitense anziché solo legge.Solo un mio piccolo cruccio.
Neil McGuigan
2016-05-31 22:25:19 UTC
view on stackexchange narkive permalink

Prenderò una posizione contrarian e dirò di sì, è abbastanza sicuro, per una banca.

  1. Le banche di solito hanno molti soldi per recuperare dalle violazioni
  2. Le banche di solito hanno molta influenza sul governo e possono evitare azioni legali collettive (vengo dal Canada e abbiamo solo poche banche di grandi dimensioni)
  3. Le banche hanno molti clienti e meno chiamate di assistenza = più soldi in tasca
  4. Le banche di solito funzionano su vecchi mainframe, che sono costosi da aggiornare
  5. Le banche di solito hanno un software di rilevamento delle frodi che analizza tutte le transazioni
  6. ol>

    Quindi, non è una questione di sicurezza assoluta, è una questione di sapere se questa politica delle password massimizza i profitti. Nella maggior parte dei paesi occidentali, gli amministratori della banca sono legalmente tenuti a massimizzare i profitti per gli azionisti.

    Dal punto di vista del cliente:

    Non consiglio di provare a forzare il tuo la tua password, ma se l'hai fatto, noterai (si spera) un blocco dell'account dopo 3-5 tentativi. Ciò riduce l'efficacia degli attacchi di forza bruta.

    Con la mia banca, mi vengono poste domande di sicurezza se accedo da un computer con cui non ho effettuato l'accesso prima. Quindi un hacker, su un altro computer, dovrebbe indovinare la password e conoscere la risposta alla domanda di sicurezza.

    Se sei un consumatore, si spera che il tuo governo fornisca protezione ai consumatori con conseguente restituzione del tuo denaro in caso di frode.

Non dico che ti sbagli, ma potresti anche vedere la domanda dal punto di vista del cliente.Massimizza la mia utilità attesa utilizzare una banca che non si preoccupa della privacy dei miei dati finanziari?
@Anders esattamente a destra.Domanda specifica in merito alle implicazioni per il cliente.Questa risposta non lo affronta
@Anders: Per quanto riguarda la mia banca, non mi preoccupo della privacy dei miei dati finanziari, mi preoccupo dei miei soldi.
La parte sulla "massimizzazione del profitto per gli azionisti" è pura sciocchezza, _soprattutto_ per le banche.Esistono alcune linee guida non specifiche per agire nell'interesse degli azionisti, ma (A) al di fuori degli Stati Uniti questo generalmente copre tutti gli stakeholder, (B) questo è secondario rispetto all'obbedienza alle leggi, (C) ignora che la continuità del business è ancheun interesse degli azionisti e, cosa più importante, (D) esistono molte leggi specifiche per l'attività bancaria che richiedono specificamente alle banche di agire nell'interesse dei propri clienti.Soprattutto l'UE dispone di ampie leggi sulla protezione dei consumatori.
Dmitry Grigoryev
2016-05-31 22:20:17 UTC
view on stackexchange narkive permalink

Rispetto alle pratiche comuni del settore, le tue condizioni non sono così insolite. La mia banca ha politiche simili, con due differenze notevoli:

  • il nome utente NON è il numero della mia carta. L'ho ricevuto per posta in una busta protetta, simile a quella che hanno usato per inviare il mio PIN. Tuttavia, non è un vero segreto, può essere trovato anche su alcune delle istruzioni.

  • la mia password è numerica con un MINIMO di 6 cifre (credo fino a 10 cifre). Ma utilizzo comunque un PIN a 6 cifre.

Anche il mio conto bancario online viene bloccato dopo 3 tentativi di accesso falliti, quindi sono abbastanza sicuro che non diventerà bruto -costretto. Suppongo che la tua banca abbia la stessa polizza; potresti voler leggere il tuo contratto o verificare per essere sicuro. Non mi è mai stato negato l'accesso al mio account tranne per il fatto che una volta ho dimenticato una delle cifre e ho provato a forzarla.

user1751825
2016-06-01 13:47:46 UTC
view on stackexchange narkive permalink

Sembra una sicurezza debole, ma in realtà un attacco brute force non è fattibile per l'online banking.

Le banche utilizzano sistemi di rilevamento delle frodi molto robusti e un monitoraggio molto rigoroso. Il blocco dell'account in genere richiede una telefonata per riattivarsi, a differenza di molti altri sistemi online che utilizzano semplicemente un blocco basato sul tempo.

Quasi certamente useranno anche token antifalsificazione nel modulo di accesso, quindi non puoi semplicemente inviare richieste di post all'endpoint e aspettarti che funzionino. Realisticamente saresti limitato all'hacking dell'automazione del browser, che rallenterà notevolmente le cose e richiederà una programmazione molto più complessa per l'installazione. Molti siti di online banking utilizzano anche tastierini generati casualmente, quindi il tuo script di automazione dovrebbe essere in grado di eseguire l'OCR per riconoscere quali tasti premere.

Quindi, in pratica, la lunghezza del pin corto non è proprio la evidenti problemi di sicurezza suggeriti da altri.

La forza bruta in genere non è il modo in cui gli account online vengono comunque compromessi. Phishing e ingegneria sociale sono i metodi preferiti e la lunghezza / complessità dei pin non aiuterà a prevenirlo.

techraf
2016-06-01 10:50:01 UTC
view on stackexchange narkive permalink

Se come hai indicato nelle note:

Qualcuno che accede al mio account non è ancora in grado di effettuare un pagamento prima che passi attraverso un altro meccanismo di sicurezza (che presumeremo sia valido).

Quindi è probabile che l'unica cosa protetta dalla password di 6 cifre sia il saldo e la cronologia del conto.

Per confronto: la mia banca giapponese mi invia la cronologia del conto stampata , in una posta normale. La mia casella di posta non è protetta e chiunque può recuperare la lettera.

Quindi una password di 6 cifre (possibilmente con un limite di tentativi e un timeout) sembra un miglioramento.

Quando ho bisogno di parlare con qualcuno della mia banca (Regno Unito) o della compagnia della mia carta di credito, spesso mi viene chiesto l'importo e il beneficiario di alcune transazioni recenti come parte delle misure di sicurezza, insieme ad altre informazioni come l'indirizzo completo e la datadi nascita.Quindi l'accesso alla cronologia delle transazioni potrebbe aiutare un utente malintenzionato a eseguire un'escalation dei privilegi in modo che possa quindieffettuare un trasferimento o "confermare" una transazione fraudolenta.(Devo sempre accedere al sito Web pertinente per cercare personalmente queste informazioni, poiché la mia memoria è senza speranza.)
Per rubare la tua posta, un utente malintenzionato deve essere fisicamente presente nella tua casella di posta.Un utente malintenzionato può tentare di accedere in remoto al tuo account da qualsiasi luogo sulla Terra.
@DavidConrad E allora?Ciò influisce sul livello percepito di inquietudine, ma non ha alcuna influenza sulla sicurezza.
Aumentando il numero di potenziali aggressori aumenta la probabilità di un attacco.
E allora?La domanda era: come si confronta (date le condizioni) la password a 6 cifre con le pratiche comuni?Ho risposto confrontando la prassi consolidata della mia banca.Il tuo commento aggiunge qualcosa a questo?Critica?O è solo non rilevante?
@DavidConrad Parte del rilevamento delle frodi si basa sulla posizione dell'accesso remoto.Se accedo sempre alla mia banca dall'Australia e improvvisamente sto effettuando transazioni dalla Cina, questo attiverà degli allarmi e il mio account sarà quasi sicuramente bloccato.
Abbastanza giusto, allora.
FKh
2016-06-01 17:05:52 UTC
view on stackexchange narkive permalink

non è abbastanza sicuro dal punto di vista globale. Pensa che il sistema tenti di accedere a 100000 account, utilizzando un numero di password. Perché molte banche si affidano ad esso, è al di sopra della mia comprensione. Anche visualizzare il tuo account (senza la possibilità di prelevare denaro) può effettivamente causare danni (indirizzo, ballance, ...).

Un altro problema è che anche bloccare il tuo account può essere una sorta di ingegneria sociale. Non dovrebbe essere possibile bloccare l'account di qualcun altro digitando 3/5 password errate. Non è usato molto in quanto tale, ma può causare molti danni o inconvenienti. Pensa a qualcuno che blocca il conto di qualcun altro di proposito, chiamandolo "per conto di una banca" per ragioni fisiche. O semplicemente per anoy lui (vendetta online ecc.)

coteyr
2016-06-03 17:36:38 UTC
view on stackexchange narkive permalink

Nel quadro generale potrebbe effettivamente essere più sicuro.

Quando noi computer parliamo di sicurezza parliamo di bit di entropia, algoritmi di hash, tentativi di forza bruta e simili. È facile dimenticare una regola semplice e inevitabile. Le persone sono stupide! Tutto questo scompare quando un utente annota la propria password, il numero pin e la domanda / risposta di sicurezza su un pezzo di carta, avvolge quel foglio attorno alla carta bancomat e spinge il tutto nel loro portafoglio. (Oppure mette la loro password su una nota adesiva gialla sotto il monitor.)

L'uso di una singola password di 6 cifre, insieme all'autenticazione a più fattori, e una forte politica di blocco è probabilmente molto meglio "nel big picture ", quindi diverse password più complesse.

Facciamo un esempio:

Old Way :

Un utente configura il loro account, quindi deve scegliere un pin della carta. Gli viene detto di usare un numero che possono ricordare. La maggior parte delle persone sceglie una data o una combinazione di date o 1234.

All'utente viene quindi chiesto di impostare una "domanda e risposta di sicurezza" per quando chiama. Scelgono qualcosa del tipo "Che scuola elementare hai fatto andare in quinta elementare? "

All'utente viene quindi chiesto di impostare una password sicura sul sito web, ma odia queste cose perché non riesce mai a ricordare una password sicura, quindi imposta" sunsname123 @ "e il il cassiere lo scrive per loro e l'utente lo infila nel portafoglio.

Questa è una pratica abbastanza standard. I numeri dei pin possono essere individuati semplicemente controllando un sottoinsieme di numeri che potrebbe essere una data valida, in poche combinazioni. La domanda di sicurezza è inutile, in quanto è di dominio pubblico e la password soddisfa tutti i requisiti tecnici o una "password sicura" ma non lo è.

Nuovo modo :

un utente imposta il proprio account e gli viene chiesto di scegliere un PIN di 6 cifre per tutto. Ne scelgono ancora uno in base a una data.

L'utente viene quindi aiutato con, o dato o detto di installare un autenticatore a più fattori (per ora facciamo finta di avere un portachiavi).

Ora non importa la transazione, che sia bancomat o in filiale o per telefono, puoi istruire il personale della banca e il cliente a fornire / ricevere il PIN e il codice MFA.

Nel mondo reale questo probabilmente presenta meno rischi delle persone meno inclini alla sicurezza chiamando una volta alla settimana perché hanno dimenticato la password, fornendo la risposta di pubblico dominio alla loro domanda di sicurezza, reimpostando la password e annotandola NUOVAMENTE e inserendola nel portafoglio.

Damon
2017-08-10 14:17:57 UTC
view on stackexchange narkive permalink

Quasi, ma non del tutto

È "abbastanza sicuro" nel senso che a prima vista è altamente improbabile (quasi impossibile) che qualcuno entri nel tuo account e possa accedere a dati come come ad es il saldo del tuo account e nella misura in cui è ancora meno probabile (a causa dell'autenticazione a due fattori) che saranno in grado di effettuare una transazione.

Non è abbastanza sicuro nella misura in cui poiché è banalmente possibile inserire numeri di conto casuali con PIN casuali (il formato esatto del numero di conto, comprese le cifre di controllo, è un'informazione nota pubblicamente, questo limita notevolmente lo spazio di ricerca). Nota come casuale-casuale sia proprio la precondizione per il paradosso del compleanno, quindi la fortuna è dalla parte dell'attaccante.

A meno che la banca non blocchi in base all'indirizzo IP quando attiva il blocco (improbabile, ma anche così puoi banalmente eseguire l'attacco da una botnet), la loro forte politica di blocco non vale esattamente nulla contro questo attacco. Puoi testare letteralmente diecimila combinazioni di account / PIN al secondo.

Sì, non è possibile scegliere come target te personalmente ed è ancora piuttosto noioso scegliere come target qualcuno , ma prendere di mira qualcuno non è praticamente impossibile, è interamente fattibile senza nemmeno entrare nel server e rubare il database dell'account o simili.

Ora, se consideri la possibilità che qualcuno legga il saldo del tuo conto ei dati personali e conosca il tuo reddito come qualcosa con cui puoi convivere (non hai nulla da nascondere, vero!), questa è comunque una cosa preoccupante .

Non solo ora sanno chi sei e dove vivi (e se vale la pena svaligiare la tua casa o rapire tuo figlio), ma è anche del tutto possibile dato solo il nome e il nome del titolare dell'account valido nome e numero di conto per l ' addebito diretto .
Abbastanza sicuro, puoi contestare la transazione, se te ne accorgi entro 4 settimane. Ma se sfugge alla tua attenzione, è solo sfortuna per te. In entrambi i casi, sono molti problemi.

Simply G.
2016-06-01 14:20:10 UTC
view on stackexchange narkive permalink

Sì, va bene, ma solo se fa parte dell'autenticazione a più fattori * e include un sistema di verifica del canale laterale sulle azioni dell'utente **.

Tutte le soluzioni meno sicure sono a mio parere non adeguate in una moderna banca Internet e non si rivolge a computer infetti, MIB ecc.

* Ad esempio che devi garantire per il computer che stai utilizzando, tramite il tuo telefono cellulare.

* * Ad esempio, ogni azione di pagamento viene inviata con un codice al tuo telefono cellulare che include anche i dettagli sull'azione di pagamento che stai accettando.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...