Un file PDF protetto da password è sicuro per gli estratti conto bancari?

16

La mia banca mi invia la mia dichiarazione mensile in un allegato PDF protetto da password. È un metodo sicuro per trasmettere qualcosa di così delicato come un estratto conto?

    
posta zundarz 09.01.2012 - 17:50
fonte

3 risposte

7

No, l'uso di un file PDF protetto da password non è semplicemente sufficiente per i dati sensibili.

Come altri hanno già affermato, la versione più recente dello standard PDF utilizza metodi di crittografia molto migliori rispetto a quelli originali, tuttavia, una password su un file (anche una potente) sarà sempre suscettibile agli attacchi di forza bruta. A questo punto stai solo sperando che il loro computer sia abbastanza lento da rendere irrilevante la tua password (si spera strong) nel momento in cui rompono la tua password. Questo è un sacco di "speranze-s". Supponendo estratti conto mensili, e una password inferiore a 50 caratteri, la sicurezza dei tuoi documenti sta iniziando a sembrare quasi ridicolmente ingenua.

Ciò potrebbe anche creare un rischio per la sicurezza in altri modi, a seconda di dove la banca ottiene la password. Conosco una banca che fa qualcosa di simile a questo e usa la password del tuo account per crittografare il documento, in modo che tu debba ricordare solo una password. Ciò significa che stanno memorizzando la password del tuo account sul server. Potrebbe essere crittografato e potrebbe non esserlo, ma in entrambi i casi è probabilmente sicuro presumere che qualsiasi utente malintenzionato che riesca a penetrare nel server della banca e ottenere un dump del database ora abbia la tua password. Non ci sono scuse per salvare le password come nient'altro che hash salati (la stessa banca ti invia la tua password se la dimentichi ... sì, in una email in chiaro).

Se puoi, chiama la tua banca e chiedi loro di iniziare a inviarti le tue dichiarazioni crittografate usando un sistema a chiave pubblica. PGP e S / MIME sono entrambi fantastici, e metteranno un po 'più di sicurezza nelle tue mani (sarà tuo compito proteggere la tua chiave privata, non le tue banche).

Molte banche forniscono anche token RSA (o tecnologie equivalenti) a prezzi relativamente bassi. Anche se ci sono state alcune (serie) violazioni della sicurezza con RSA in particolare ultimamente, questa è ancora una grande aggiunta alla sicurezza del tuo account se la tua banca lo offre.

    
risposta data 12.01.2012 - 06:06
fonte
5

Non mi fiderei nemmeno quasi della sua sicurezza, anche se non contiene informazioni personali di valore.

Lo standard di crittografia utilizzato da Adobe per le versioni più recenti non è affatto male come ha detto Graham, ma i problemi più importanti sono l'effettiva implementazione di esso. (Anche se l'implementazione in Adobe 8 era in realtà un po 'meglio anche se era solo la crittografia a 128 bit, come ammesso anche da Adobe).

Elcomsoft commercializza un prodotto specifico per l'elusione della password PDF (non necessariamente il recupero) che funziona abbastanza bene secondo i test che ho visto da terze parti (inclusa la CMU).

Combinare questo fatto con la possibilità che la password stessa sia insicura / facilmente ipotizzabile, il fatto che sia inviata in modo prevedibile a un account che potrebbe essere a sua volta compromesso e il fatto che essi memorizzino qualcosa su di te in esso e questa è una ricetta per il disastro / una nuova banca / una nuova politica per loro per lo meno.

    
risposta data 11.01.2012 - 01:49
fonte
2

Credo che molte banche non considerino le dichiarazioni mensili come "dati sensibili", dal momento che so che molte banche hanno bar piuttosto bassi quando si tratta di dichiarazioni mensili.

Come altri hanno detto, penso che la crittografia PDF non sia la migliore,

    
risposta data 12.01.2012 - 19:37
fonte

Leggi altre domande sui tag