Quando chiami la mia banca, ti chiedono di inserire nome utente e password utilizzando la tastiera del telefono. È una pratica sicura? In particolare, è meno sicuro che inserire la mia password sul loro sito web?
Poiché i pulsanti del tastierino non mappano 1: 1 con caratteri ASCII, un potenziale intercettore non avrebbe la mia password esatta , ma avrebbe uno spazio di ipotesi molto ridotto.
Is this a safe practice?
No, assolutamente no.
A differenza del traffico Internet su HTTPS, le linee telefoniche non sono crittografate. In teoria, nulla impedisce la crittografia in stile HTTPS, ma il problema è che entrambi i dispositivi devono essere in grado di farlo. I normali telefoni non possono farlo. E a differenza di HTTPS, non esiste un'unica grande soluzione che il mondo intero conosca e accetti.
Si noti che i protocolli GSM e successivi hanno una certa crittografia, ma a) non è così sicuro, eb) nel solito caso, il segnale alla stazione base è crittografato, e quindi dalla stazione base sul testo in chiaro ancora.
Si noti inoltre che alcune delle "grandi" linee tra paesi ecc. sono crittografate (ad esempio, telefono- > telecom1 non crittografato, telecom1- > telecom2 crittografato, telcom2- > telefono non crittografato), ma purtroppo questo è piuttosto di rado.
Che cosa significa per la pratica? O crack il GSM, o più facile configurare la tua base station, o ancora più facile (ma un po 'sporco) scavare un buco per raggiungere un importante cavo di trasporto. (Oppure, se sei una diva come una certa agenzia governativa che non vuole sporcarsi, chiedi al più grande nodo telefono / internet del continente di ottenere le proprie stanze nel centro della rete.). Essere un impiegato delle telecomunicazioni è bello ...
L'unico aspetto positivo potrebbe essere il fatto che la maggior parte degli hacker si concentra su Internet e sui dispositivi correlati (computer, telefoni cellulari, ...), invece delle vecchie connessioni telefoniche.
Specifically, is this less secure than inputting my password on their website?
Certo
As keypad buttons don't map 1:1 with ASCII characters
Quindi cosa? Chiunque ascolti i tasti del telefono premuto lo sa e può facilmente convertirlo