Seguo alcune personalità Twitter legate all'infosec: Paul Moore, Taylor Swift, Troy Hunt sono i principali 3. Paul Moore è attualmente in procinto di cambiare banca, tweeting e retweeting frequenti su quanto siano insicure queste banche:
- requisiti per password ridotte (non sono consentiti simboli, la lunghezza massima bassa è la più grande 2);
- implementazioni TLS buggy (articolo di Troy Hunt: link ), con molte banche che falliscono in roba come Forward Secrecy, SHA-1, RC4 e TLS 1.2;
- strani metodi di verifica della password che di solito dimostrano che non sono password di hashing (come chiedere 2 caratteri specifici da una password);
- modi strani per trasferire le credenziali dell'account (come chiedere un DM su Twitter o supportare le persone che danno le nuove credenziali al telefono).
Mi rendo conto che non tutte le banche hanno questi problemi (ad esempio, le banche belghe non usano affatto le password, ma richiedono l'accesso all'e-banking tramite un lettore di carte con la carta di debito, e la maggior parte di esse ha il TLS appropriato ), ma sembra che alcune banche abbiano almeno due di questi problemi e, quando li chiamano, si comportano come se non fosse un problema. Nel frattempo, ci fidiamo di queste aziende con i nostri soldi.
Perché così tante banche hanno uno o più di questi problemi? Mi rendo conto che alcuni di essi sono dovuti a requisiti legacy, ma non possono essere dovuti a interfacce obsolete?