Il sito web della banca è abbastanza sicuro? Nessun https nella pagina di accesso

15

Oggi ho aperto un conto in banca per investire i miei risparmi. Ecco il link alla pagina di accesso: link

Ho notato che non utilizza il protocollo Https (né la pagina né la pagina di destinazione in cui è possibile acquistare azioni, ecc.). Inoltre la tua password può avere una lunghezza massima di 10 caratteri e non c'è una verifica in due passaggi ...

Questa è la pagina in cui spiegano la loro sicurezza (è italiano, forse potresti tradurre: link ).

Grazie per qualsiasi input.

È una grande società di brokeraggio, quindi mi sembra strano che a loro non importi molto della sicurezza (comunque non sono un esperto).

    
posta KingBOB 03.08.2018 - 18:41
fonte

3 risposte

21

doesn't use Https protocol

Il sito web che hai fornito supporta HTTPS, ma non il HSTS o il reindirizzamento da HTTP a HTTPS. Questo è il motivo per cui potresti essere indirizzato a un sito HTTP non protetto. Analisi Labs SSL .

Moreover your password can be at maximum 10 characters

Stranamente questo è comune nel settore bancario online. Ho sperimentato una banca che ha definito le seguenti regole per una password {az-AZ-09} con un limite di caratteri inferiore o uguale a 10.

there's no 2 step verification...

Nonostante questo diventi una norma di sicurezza. Alcuni hanno ancora configurato la loro infrastruttura con una sicurezza primitiva, dati i moderni vettori di attacco. 2FA dovrebbe essere un obbligatorio . La maggior parte delle banche fornisce una " chiave sicura " o l'accesso a una password una tantum dall'app per mobile banking.

Il mio consiglio personale. Evita i servizi bancari online con questa banca e cerca un'alternativa in grado di soddisfare le tue esigenze di sicurezza (OpSec).

    
risposta data 03.08.2018 - 19:08
fonte
10

Presupposto che è la pagina di accesso effettiva:

Sì, questo è molto insicuro per gli standard moderni, e ancora di più per tutto ciò che riguarda transazioni monetarie effettive.

C'è sempre la sottile possibilità che la pagina venga caricata su HTTP, ma che poi venga inoltrata a un server protetto da HTTPS. Sarebbe ancora male, ma sarebbe almeno "migliore". Tuttavia, ho confermato che ciò non accade. Sono sicuro che sai che questo consentirebbe a chiunque nella tua rete locale (o ovunque tra te e il loro server) di leggere il tuo nome utente e password.

Inoltre non esiste una protezione CSRF sull'endpoint di accesso: questo può introdurre molte altre debolezze di sicurezza più sottili (anche se non altrettanto gravi quanto la mancata crittografia delle credenziali di accesso).

Lo scenario migliore qui è che la pagina in cui ti trovi non è supposta come pagina di accesso principale, ma sei finito lì per sbaglio e hanno dimenticato di rimuoverlo e dirigere le persone alla pagina di accesso che è effettivamente sicura.

Ho eseguito il sito web descrivendo la loro sicurezza tramite google translate. Ovviamente non sarà perfetto, ma sicuramente dà i punti salienti:

  1. Non abbiamo mai avuto una breccia prima - niente di cui preoccuparsi!
  2. Abbiamo un firewall super sicuro
  3. Utilizziamo la crittografia SSL!
  4. Puoi cambiare la password!
  5. Puoi negare l'accesso al tuo account da tutti i dispositivi tranne uno
  6. Puoi vedere quando / dove hai effettuato l'ultimo accesso
  7. Puoi ricevere un messaggio di testo ogni volta che qualcuno accede
  8. Anche se qualcuno dovesse effettuare il login i tuoi soldi sarebbero al sicuro perché non permettiamo i trasferimenti su account non specificati da te e indicati nel tuo contratto

Non prenderei tutto ciò molto sul serio, specialmente alla luce della loro incapacità di fornire la crittografia SSL sulla pagina di accesso, che è probabilmente la pagina più importante da proteggere. Date le loro pratiche rilassanti qui assumerei che abbiano buchi di sicurezza altrove nel loro sistema. Indipendentemente dal fatto che abbiano mai avuto una violazione è qualcosa che nessuno saprà mai - ciò che dovrebbe dire è:

If we've ever had a breach we at least don't know about it! We promise we're not lying!

Se davvero non hanno mai avuto una breccia, probabilmente perché nessuno si è mai preoccupato di cercare di bersagliarli, e non a causa di buone pratiche di sicurezza. Non prenderei seriamente il punto 8. Sareste sorpresi dal modo in cui le persone parlano dei tecnici di supporto all'account, e anche se un utente malintenzionato non può rubare attivamente i vostri soldi, ciò non significa che non possano causarvi gravi danni se entrano nel vostro account.

    
risposta data 03.08.2018 - 18:56
fonte
8

Chi ha progettato il sito sembra avere una scarsa conoscenza della sicurezza. Come altri hanno sottolineato, fanno supportano HTTPS, ma per lo meno si dovrebbe essere reindirizzati da HTTP a HTTPS quando si accede al sito di accesso. Quello era standard per i siti Web sicuri più di 10 anni fa. È estremamente semplice implementarlo, offre una vera protezione dagli attacchi reali e non averlo è una bandiera rossa.

Ancora meglio sarebbe sostenere HSTS (anche non supportato), che è un modo di pubblicare informazioni su come il sito web dovrebbe essere disponibile solo tramite HTTPS. Questo standard ha ormai quasi 6 anni e viene ampiamente implementato. Una banca che non ha questa semplice misura di sicurezza è un'altra bandiera rossa.

Non dovrebbe sorprendervi che i siti web italiani ... non siano proprio i migliori. Ho trascorso molto tempo in Italia usando i siti web italiani, e molti sono incredibilmente cattivi e circa 15 anni indietro rispetto ai tempi. Questo sito non fa eccezione.

I limiti di lunghezza della password sono purtroppo la norma per molte banche. Questo perché gran parte del settore bancario è di per sé molto indietro rispetto ai tempi con un'enorme quantità di sistemi legacy ancora in essere. Anche la mancanza di autenticazione a 2 fattori è relativamente comune. Entrambe queste sono indicazioni che l'istituzione non è focalizzata sulla sicurezza, ma è troppo comune che queste siano bandiere rosse.

Ho eseguito un test della loro configurazione SSL contro SSL Labs: link

In realtà non è terribile (ottengono una B), che non è una bandiera rossa, ma è un altro indicatore di non tenere il passo con gli standard di sicurezza.

Non consiglierei di utilizzare questo istituto finanziario in quanto sembrano avere un grave disprezzo per le moderne pratiche di sicurezza che risalgono ad almeno 10-15 anni. I problemi visibili sono spesso solo la punta dell'iceberg.

    
risposta data 03.08.2018 - 21:45
fonte

Leggi altre domande sui tag