IBAN con troppe cifre oscurate?

8

È consuetudine che siti Web, messaggi o altri documenti visualizzino a volte dati (numeri di carte di credito, numeri di telefono, ...) con alcuni numeri cancellati (ad esempio, sostituiti da asterischi) in modo che il lettore legittimo possa riconoscere ciò che è pieno il numero è dietro, ma un avversario non può.

La mia banca utilizza questo per nascondere il numero del conto bancario dei destinatari del bonifico bancario nei messaggi di conferma mTAN. Tuttavia, nascondono solo le tre ultime cifre di un IBAN .

Dato che IBAN implica un checksum di modulo 97, in effetti non è molto meglio nascondere una cifra singola di dati "reali", consentendo così ad un avversario una significativa possibilità di indovinare correttamente. Dato il fatto aggiuntivo che alcune banche hanno numeri di conto locali piuttosto prevedibili che formano l'estremità destra dell'IBAN (ad es., Spesso finendo in 00, o forse c'era già una sorta di checksum), trovo questa pratica poco confortante.

Dovrei essere preoccupato / chiedere chiarimenti alla banca?

EDIT: sono a conoscenza di Come mascherare correttamente le informazioni SEPA (IBAN e BIC)? , ma quella domanda e risposta mirano a una direzione molto diversa, ovvero: Quanto di un IBAN dovrebbe essere esposto per riconoscerlo da un manciata dei "miei" IBAN da utilizzare in una transazione pianificata? La risposta afferma che in genere le ultime 3-4 cifre sono sufficienti. La mia domanda tuttavia riguarda lo scenario opposto, cioè che un IBAN viene trasmesso con quasi tutte le cifre visibili. Ha senso visualizzare molte cifre in questo scenario in modo che possa essere un po 'sicuro che l'IBAN sia effettivamente l'IBAN arbitrario che ho scritto prima (e non l'account di qualcuno che intercetta il mTAN). Anche se "I numeri IBAN non sono segreti" possono applicarsi anche qui (ponendo così in dubbio la necessità di offuscare del tutto), sono anche più preoccupato delle implicazioni che il checksum strong rovina quasi completamente l'offuscamento.

    
posta Hagen von Eitzen 20.09.2015 - 20:01
fonte

1 risposta

2

Il motivo per cui affermi (parte) l'IBAN nel messaggio mTAN è quello di proteggere tu da un utente malintenzionato come un plug-in per browser errato che modifica l'account di destinazione. Più ti nascondi, maggiore è la possibilità che l'attaccante possa utilizzare una collisione, cioè ha un accesso completo a un account in cui i numeri non nascosti corrispondono al tuo trasferimento previsto. Siccome il plugin cambierebbe solo l'account per le transazioni che conosce può sfruttare, la banca vuole mostrare il più possibile per ridurre le possibilità. La probabilità che qualcuno intercetti lo stesso mTAN è probabilmente considerata troppo piccola da infastidire.

E.g., in Germany, one could buy goods/services just knowing your name and bank account number (IBAN)

Bene, questo è il vero problema che si dovrebbe chiedere alla propria banca un chiarimento. Un numero di conto non è né segreto né imprevedibile e deve essere trattato come informazione accessibile al pubblico. Se si conosce un numero di conto, in genere si possono generare anche altri numeri di conto validi abbastanza facilmente, quindi si può solo sperare che anche il nome sia spuntato.

    
risposta data 05.01.2016 - 10:58
fonte

Leggi altre domande sui tag