La password del sito web è meno sicura rispetto ad altre informazioni identificative?

7

Ho avuto a che fare con due banche separate per completare un rollover 401k (non ho altri account con nessuna delle due banche), e ho incontrato qualcosa con entrambi che non ho mai visto in nessuno dei due le banche con le quali lavoro abitualmente. Entrambe le banche hanno richiesto la password del mio sito Web al telefono, quando si è richiesto di parlare con un rappresentante del servizio clienti. Ogni volta, insisto che non lo divulgherio, perché non è sicuro, e che mi piacerebbe verificare me stesso in altri modi, a cui di solito chiedono solo la data di nascita, l'indirizzo di casa e di solito il numero di previdenza sociale .

La mia domanda è: c'è qualcosa di più o meno sicuro nell'usare la password del mio sito web (al contrario di indirizzo, data di nascita, SSN) per la verifica dell'account al telefono con un rappresentante del servizio clienti?

La mia intuizione dice che è meno sicuro perché ritengo che la mia password non dovrebbe mai essere leggibile da nessuno che non sia me stesso - come dovrebbe essere trasmessa via SSL, correttamente hash / salata / etc, e archiviata. Una volta che divulgo la password in chiaro al rappresentante, è compromessa. È accurato? (Sidenote: Queste banche quasi certamente non crittografano correttamente le password per l'archiviazione, ma questo è un problema separato, penso).

    
posta xdumaine 19.06.2014 - 14:37
fonte

7 risposte

3

Non sono d'accordo con alcuni dei miei colleghi e suggerisco che la soluzione della Banca è molto più sicura della tua alternativa proposta. Anche se non è l'ideale neanche. Diamo un'occhiata a ciascuna soluzione e al suo profilo di attacco.

Indirizzo, SSN, DOB, ecc. Dovremmo essere tutti in grado di convenire che si tratta di idee assolutamente terribili. I fatti rendono orribili le password e non dovrebbero mai essere usati. Nessuna eccezione. Letteralmente no eccezioni. Se qualcuno può cercarlo, non puoi usarlo per autenticarti. Periodo. Quasi tutte le domande di sicurezza cadono inosservate su questa regola. È imbarazzante. Questa tecnica viene sfruttata frequentemente, spesso con obiettivi di alto profilo. Dovremmo sapere meglio ma continuiamo ad usarlo. Questo deve fermarsi.

Password del sito web
Anche se non è l'ideale, questo risolve il problema della ricerca. Può ancora essere utilizzato con hashing sicuro poiché il rappresentante del supporto deve digitare la password letteralmente per verificarlo anziché leggerlo dallo schermo. I tuoi potenziali attacchi sono: (a) qualcuno che ascolta può riutilizzarlo per impersonare te al telefono, e (b) qualcuno che ascolta può usarlo sul sito web. Tuttavia, se più aziende lo facessero, saremmo molto più sicuri. Possiamo fare di meglio, ma almeno non devi preoccuparti di qualcuno che sta cercando in quale strada sei cresciuto o le ultime cifre del numero della tua carta di credito e poi usare quella informazione per prendere il controllo del tuo account.

Pin di call-in
Questa è la soluzione di Godaddy. Hai un numero di 4 cifre sul tuo account che devi fornire quando chiami il supporto. È meglio che risolva il problema (b) sopra - non puoi usare il call-in pin per accedere al sito web. Ma il problema (a) rimane. Il pin non cambia a meno che non lo si ripristini, quindi un utente malintenzionato che ascolta la tua conversazione può impersonare te. Oltre al sotto, altre "call in passwords" tendono a rientrare in questa categoria e sono suscettibili di "replay attack".

Codice di accesso singolo Questa è la soluzione di PayPal, ed è la migliore soluzione disponibile. Quando fai clic su "contattaci" sul tuo account PayPal, ti viene fornito un codice di accesso a 6 cifre a tempo limitato a uso singolo che devi fornire al telefono. Scade dopo 60 minuti o dopo averlo usato una volta, quindi un intercettatore non può impersonare te. Ed è casuale quindi non può essere previsto. Se hai intenzione di implementare una soluzione per te stesso, questo è il modo per farlo. PayPal ha fatto questo per molti anni e finora ha funzionato per loro.

Il modo di autenticare al telefono "dimmi alcuni fatti su di te", come hai suggerito, in realtà non dovrebbe essere consentito; è un peccato che così tante aziende lo facciano. Dare la password del tuo sito web al telefono è molto meglio (per essere onesti, tutto è meglio), ma presenta alcuni problemi. Autenticare online e ottenere un codice segreto una tantum: questa è una soluzione che posso rispettare.

Si noti che il fatto che la banca sia disposta a rinunciare a chiedere il proprio SSN o indirizzo, ecc. è il vero scandalo qui. Se rifiuti di autenticarti in modo sicuro, dovresti dare a non l'opportunità di fornire alcuni fatti sulla vittima che stai cercando di impersonare.

    
risposta data 19.06.2014 - 22:52
fonte
2

Come meccanismo di autenticazione, le password non sono male - infatti, le password sono significa per l'autenticazione. Storicamente, le linee telefoniche sono state inclini allo spionaggio, ma era in giorni prima di Internet. Non dico che le linee telefoniche siano più sicure ora; piuttosto, che le persone che vogliono spiare le password delle banche si concentrano sugli attacchi informatici, principalmente perché possono perpetrarle dal comfort della loro casa (o seminterrato o covo), mentre l'intercettazione classica spesso comporta alcune operazioni fisiche su attrezzature esterne, implicando l'esposizione a elementi meteorologici, night-time armeggiare con i cavi, acquattati sotto cassonetti, e altre attività che hanno poco fascino per le giovani generazioni che oggi abbiamo.

Il problema con password-over-phone è che le banche addestrano i loro clienti mai a dare via le loro password. Almeno tutte le mie banche lo fanno. Sottolineano che il segreto della password è una mia responsabilità. Divulgare la mia password al telefono sarebbe un grave comportamento scorretto da parte mia. Giurano che il loro rappresentante mai chiederà la mia password, sia per telefono o anche se li incontro fisicamente.

Ci sono buone ragioni per questo tipo di formazione: rende i clienti molto più resilienti ai truffatori (quel tipo di attacco è molto più vecchio dei computer, ma in qualche modo le persone sentivano il bisogno di creare un brutto neologismo - "phishing" - per il caso dei computer). Ora, se i dipendenti della banca iniziano a chiedere la password del cliente, tutto questo si esaurisce.

La sicurezza richiede la collaborazione degli utenti. La cooperazione è raggiunta attraverso l'educazione. L'istruzione si basa sulla coerenza . Il comportamento dei dipendenti che descrivi contraddice questa coerenza.

(@ tylerl espone diverse soluzioni alternative. Ha ragione nel sottolineare che l'SSN, l'indirizzo e il nome da nubile della madre sono terribili metodi di autenticazione, ma insisto che riutilizzare la password del sito Web non è molto meglio.)

    
risposta data 20.06.2014 - 00:18
fonte
1

La semplice regola da adottare è di non fornire mai una password. Come dici tu, dovrebbero essere tenuti in forma crittografata e inoltre, la banca non ha bisogno della password per accedere ai tuoi dati. Il più vicino dovrebbe venire è chiedere lettere casuali da una 'parola o frase memorabile' e che non dovrebbe essere la stessa della tua password.

    
risposta data 19.06.2014 - 15:29
fonte
1

Hai ragione, non hanno bisogno di conoscere la tua password e possono verificare per nome, indirizzo e DoB. Non c'è bisogno di dire loro la tua password e molto probabilmente sarà contro le regole della compagnia "Non dire mai la tua password a nessuno" è sempre # 1 quando si lavora con le password.

- EDIT -

Non ero a conoscenza di altre società che rilasciavano una "Password di fatturazione" o un'altra password solo per richieste tecniche. Un Pin o un altro identificatore piccolo è possibile, ma per la maggior parte di solito si tratta di Posizione, Data di nascita e Cognome + Risposta segreta a una domanda.

    
risposta data 19.06.2014 - 14:44
fonte
0

La domanda che devi porre è: perché sono ancora in quella banca se penso che non sia sicuro?

È certamente lontano dalle migliori pratiche e hai ragione nel dire che questo non è sicuro. Nessuno ha mai detto che le banche fossero tutte al sicuro. Ad essere onesti, questo è probabilmente davvero brutto. La maggior parte dei meccanismi di autenticazione che conosco richiedono l'autenticazione a due fattori.

La maggior parte delle soluzioni di phone banking che conosco richiedono che tu faccia prima un codice sicuro attraverso l'interfaccia web della banca (come un codice PIN). L'interfaccia web utilizza un lettore di schede per generare un token di autenticazione limitato nel tempo.

Una volta ottenuto il codice PIN, è necessario collegarsi alla banca, inviare l'ID cliente e il PIN. Quindi sei considerato autenticato.

Se stai ancora pungendo potresti dire che anche il telefono non è considerato un mezzo sicuro. La sicurezza è sempre un compromesso con usabilità e rischio. Fortunatamente per voi la maggior parte delle banche si assume il rischio per se stessi (a meno che non possano provare di non aver agito con dovuta diligenza). La maggior parte delle banche paga perché i danni alla reputazione di non pagare sono comunque più dannosi. Tuttavia dipende tutto da come la tua banca gestisce questo, considerando che non sembrano aderire alle migliori pratiche del settore, mi chiedo quale sia la loro politica in materia di frodi con l'account di un cliente.

So che la maggior parte delle banche europee ha già questo tipo di misure o ha intenzione di adottarle. Non ho molta familiarità con le banche americane, ma in genere sono un po 'indietro quando si parla di sicurezza (almeno questo è quello che ho sentito).

    
risposta data 19.06.2014 - 14:50
fonte
0

L'inserimento della rappresentazione numerica della password sul telefono può essere considerata accettabile poiché generalmente le conversazioni telefoniche sono considerate relativamente sicure in quanto sono generalmente point-to-point e relativamente impegnativi per chiunque non sia la compagnia telefonica o il governo a toccare. Certo, qualcuno potrebbe toccarlo a casa tua, ma se lo fanno, potrebbero anche toccare la tastiera.

Il grande no-no lo sta rivelando a un CSR a basso reddito piuttosto che a un sistema elettronico. La banca può facilmente assicurarsi che il sistema elettronico indichi solo sì / no per essere stato verificato, raccontarlo a un dipendente è orribile. Ancora meglio sarebbe chiedere a qualcuno di accedere e fornire un OTC come opzione alternativa o utilizzare una funzione chiamami che auto-convalida la chiamata, tuttavia qualcuno potrebbe aver bisogno di accedere alla propria banca mentre non si trova nei pressi di un computer.

Personalmente, data l'opzione di fornire una password che posso cambiare dopo la chiamata o dare il mio social, preferisco dare la password in quanto non è legata direttamente a me per sempre senza un sacco di cerchi da saltare attraverso, anche se questo presuppone che tu stia seguendo le migliori pratiche e utilizzando una password unica per quell'account.

    
risposta data 19.06.2014 - 16:01
fonte
0

Non è affatto sicuro. almeno non se hai una chiave o un pin del telefono.

Se è il tuo conto in banca, allora dovresti parlare solo con il tuo account manager. Se hai bisogno di fare transazioni ragionevoli con qualsiasi altro (anche la stessa banca) senza un codice PIN o telefono non farlo.

Parlare con il tuo account manager. significa che non ha bisogno di molte informazioni per controllare il tuo account.

Quando esco dal mio paese, MY LESS, un conto bancario sicuro mi chiamerà e mi chiederà un sacco di cose private prima di permettermi di fare qualche transazione

E fai questo.

  1. Per favore, continua a non dirglielo
  2. Chiedi al gestore dell'account un codice di accesso telefonico, un PIN o un codice RSA

se non puoi fare il passaggio 2

  1. Apri un conto bancario con banca che supporta il codice di accesso telefonico, il codice pin o il codice RS
  2. chiudi il tuo attuale conto corrente non protetto
  3. continua a non dirglielo
risposta data 19.06.2014 - 23:54
fonte

Leggi altre domande sui tag