Sono preoccupato perché il mio college chiede agli studenti di confermare il loro numero di carta di credito, posizione, SSN e nome completo al momento dell'iscrizione. Cosa faccio?

4

Quando un utente effettua l'accesso con il proprio nome utente (il loro numero di identificazione pubblico) e una password (la data di nascita, per impostazione predefinita) viene inviato il proprio nome, il numero di previdenza sociale, il numero parziale della carta di credito / la data di scadenza e l'indirizzo di fatturazione. L'utente è invitato a confermare che l'informazione è corretta; Questo succede ogni volta che provano ad aggiungere classi.

Ho la sensazione che questo sia un enorme rischio per la sicurezza, anche se è inviato su HTTPS, ma qui sono solo uno studente. Cosa devo fare?

(Vengono inviate anche alcune informazioni meno importanti come i numeri di telefono)

    
posta Joan D 09.12.2014 - 09:31
fonte

2 risposte

1

Quando dici inviato su cosa intendi? Questa informazione ti viene presentata e devi quindi verificarla o richiede anche queste informazioni e le tue normali credenziali di accesso (Username, password) di cui verifica quindi se le credenziali (SSN, ecc.) Che tu hai inserito sono corretti?

Perché ci sono lati della moneta di sicurezza, per così dire, con questa situazione. Poiché l'utilizzo di più fattori di autenticazione prima che uno studente possa aggiungere una nuova classe è un'idea particolarmente valida, poiché il fatto fondamentale è che un utente malintenzionato raccolga tutte le informazioni su una singola persona a meno che, naturalmente, non sia molto goffo con le sue credenziali o il tuo attaccante è davvero un buon profiler. Tuttavia, mantenere quella quantità di dati su una persona non è forse la cosa migliore da fare se il back end della tua università non è tutto per lui.

-Sempre le cose HTTPS prima che io vada troppo! Sulla questione dell'uso di HTTPS. È davvero tanto buono quanto la sua implementazione. Ci sono molti buchi e ci sono problemi se non è stato implementato correttamente. Anche se non dovrei preoccuparmi tanto quanto l'integrità dell'AP che stai usando per inviare quelle informazioni.

Ma se hai dubbi, dovresti parlare con un docente o con qualcuno di livello superiore in Management e utilizzare sempre una VPN o, se possibile, un tunnel SSH.

    
risposta data 09.12.2014 - 14:37
fonte
1

Effettuare l'accesso con il proprio numero di ID pubblico e la data di nascita suona come un enorme rischio per la sicurezza.

Se l'ID è pubblico come dici tu, la data di nascita della persona associata a quell'ID può essere facilmente scoperta. Sarebbe banale sapere o (se il potenziale attaccante sa che la vittima è un sistema localizzato), recuperare (ad esempio attraverso i social media), indovinare o forzare la data di nascita. Forzare brutalmente la data di nascita tra tutti gli account se gli ID sono sequenziali sarebbe facile, poiché sarebbe richiesto solo un intervallo di date ristretto, presumendo che la maggior parte degli studenti nascano intorno allo stesso anno per un determinato intervallo di ID.

Ovviamente, gli studenti possono cambiare le loro password in qualcos'altro, ma se non sono richieste dal sistema, il rischio non viene significativamente ridotto. Direi che la maggior parte degli utenti non si preoccuperebbe di cambiare la propria password poiché il loro DOB è facilmente memorizzabile.

L'uso di HTTPS è buono, anche se non hai idea di come le informazioni siano archiviate e protette sui loro sistemi di back-end.

Dovresti parlare con un docente o con qualcuno al college con le tue preoccupazioni, anche se spesso queste preoccupazioni possono cadere nel vuoto. Tuttavia, non proverei a provare alcuna vulnerabilità in quanto ci sono tutti troppe storie là fuori come questa . Se hai avuto qualche prova, potrebbe essere meglio inviarla al college in modo anonimo su carta stampata stampata su una stampante pubblica per impedire la stampante steganografia di identificarti.

    
risposta data 10.12.2014 - 13:52
fonte

Leggi altre domande sui tag