La mia politica di sicurezza della password della banca online è abbastanza buona?

3

La mia banca ha una politica di sicurezza delle password online che mi sembra sbagliata al 100% a tutti i livelli. Dal momento che è una delle banche più grandi del mio paese, le sto dando il beneficio del dubbio, e considero la possibilità che non vedo il quadro completo ...

Il modo in cui accedo al portale online utilizza il mio numero di carta di identità (emesso dal mio paese) come nome utente e lo stesso PIN della mia carta di credito principale come password. Questo sembra sbagliato per diversi motivi:

  • La password che utilizzo per accedere alle funzioni di banking online è un PIN di 4 cifre.
  • Non riesco a modificare facilmente la mia password di banking online, devo andare a un bancomat e cambiare il mio PIN.
  • Se mi capita di perdere la mia carta di credito, il che è già abbastanza grave, anche le mie funzionalità di banknig online sarebbero state compromesse.
  • Anche se alcune delle funzionalità più "rischiose" richiedono una cosiddetta "ditta digitale", che viene scelta da me, questa impresa digitale deve essere un PIN di 8 cifre.

È abbastanza brutto come sembra (come uscire da quella banca abbastanza male)? Potrebbero usare le politiche di sicurezza che non riesco a vedere per mitigare i possibili attacchi? Sono queste cattive politiche comuni nelle grandi società bancarie?

    
posta Daniel García Rubio 13.12.2017 - 18:35
fonte

1 risposta

3

Questo è sbagliato su così tanti livelli che non so nemmeno da dove cominciare ...

  • Quattro cifre? Sul serio? Anche se implementi tutta la rilevazione della forza bruta nel mondo, qualcuno potrebbe facilmente entrare in un account al primo tentativo solo per essere fortunato!
  • Non è possibile eseguire hash a quattro cifre in modo significativo. Non importa quanto siano alti i fattori di costo che imposti per bcrypt, non ti sarà di grande aiuto. Ciò significa che tutti i PIN devono essere memorizzati in modo reversibile. Se il database perde, non c'è nulla che protegga il tuo account ...
  • Il fatto che le persone inseriscano il PIN sulla loro carta di credito su un computer è un'idea orribile, a prescindere da cosa la usi. Il tuo PIN deve essere inserito nei lettori di carte di credito, nient'altro. Insegnare ai clienti a darlo via sui siti Web non è una buona idea.
  • Come dici tu, il PIN di una carta di credito è più difficile da modificare rispetto a una password.
  • Un PIN a 8 cifre è migliore di quello a 4 cifre, ma non ancora abbastanza buono. Perché non consentire alle persone di utilizzare password reali? O 2FA?

No, non ci sono scuse per questo. Non ci sono protezioni intelligenti che possono rendere questa multa. Valuta di passare a un'altra banca.

    
risposta data 13.12.2017 - 19:28
fonte

Leggi altre domande sui tag