È consuetudine che siti Web, messaggi o altri documenti visualizzino a volte dati (numeri di carte di credito, numeri di telefono, ...) con alcuni numeri cancellati (ad esempio, sostituiti da asterischi) in modo che il lettore legittimo possa riconoscere ciò che è pieno il numero è dietro, ma un avversario non può.
La mia banca utilizza questo per nascondere il numero del conto bancario dei destinatari del bonifico bancario nei messaggi di conferma mTAN. Tuttavia, nascondono solo le tre ultime cifre di un IBAN .
Dato che IBAN implica un checksum di modulo 97, in effetti non è molto meglio nascondere una cifra singola di dati "reali", consentendo così ad un avversario una significativa possibilità di indovinare correttamente. Dato il fatto aggiuntivo che alcune banche hanno numeri di conto locali piuttosto prevedibili che formano l'estremità destra dell'IBAN (ad es., Spesso finendo in 00, o forse c'era già una sorta di checksum), trovo questa pratica poco confortante.
Dovrei essere preoccupato / chiedere chiarimenti alla banca?
EDIT: sono a conoscenza di Come mascherare correttamente le informazioni SEPA (IBAN e BIC)? , ma quella domanda e risposta mirano a una direzione molto diversa, ovvero: Quanto di un IBAN dovrebbe essere esposto per riconoscerlo da un manciata dei "miei" IBAN da utilizzare in una transazione pianificata? La risposta afferma che in genere le ultime 3-4 cifre sono sufficienti. La mia domanda tuttavia riguarda lo scenario opposto, cioè che un IBAN viene trasmesso con quasi tutte le cifre visibili. Ha senso visualizzare molte cifre in questo scenario in modo che possa essere un po 'sicuro che l'IBAN sia effettivamente l'IBAN arbitrario che ho scritto prima (e non l'account di qualcuno che intercetta il mTAN). Anche se "I numeri IBAN non sono segreti" possono applicarsi anche qui (ponendo così in dubbio la necessità di offuscare del tutto), sono anche più preoccupato delle implicazioni che il checksum strong rovina quasi completamente l'offuscamento.