Andando a fare un altro tentativo con questo, per cercare di indirizzare i molti commenti eccellenti ...
Un assegno è un'istruzione di una banca per prelevare denaro dal conto di Alice e darlo a Bob. Per agire su di esso, la banca deve conoscere i dettagli dell'account di Alice; devono essere scritti sull'assegno in qualche modo quando arriva per la compensazione.
Un controllo prestampato nel libretto degli assegni di Alice sembra avere già scritto il suo numero di conto, semplicemente per motivi di convenienza, sia in forma umana che in forma leggibile dalla macchina.
@IMB chiede innanzitutto se si tratta di una vulnerabilità, poiché se Eve riceve un assegno, può leggere i dettagli dell'account e utilizzarli in un attacco. La risposta è sì, è una vulnerabilità.
Quindi @IMB chiede se l'hashing dei dettagli dell'account sarebbe un buon controllo. Sospetto che in realtà significhi crittografia, piuttosto che hashing, poiché l'hashing crittografico è un termine tecnico piuttosto specifico che non si applica qui, ma si ottiene l'immagine. La risposta è anche sì, se fatto con attenzione, la crittografia del numero di conto (con un opportuno nonce aggiunto) impedirebbe in gran parte Eve di utilizzare le informazioni dell'account.
Infine @IMB chiede perché allora le banche non lo fanno? Beh, come per ogni controllo di sicurezza, devi misurare il costo di utilizzarlo contro l'impatto di un errore per decidere se applicarlo o meno.
Penso che il costo principale sia che gli umani non possono più leggere l'intero assegno. Questo non suona come un problema in questi giorni di informatica onnipresente, ma le banche sono conservatrici e fuori moda e amano particolarmente i processi di audit umani. A loro piace che un manager sia in grado di effettuare controlli casuali ogni giorno e ricontrollare come è stato elaborato. A loro piace essere in grado di estrarre un pezzo di carta fisico e inviarlo a un cliente e dire "No, non abbiamo commesso errori".
I costi aggiuntivi sono che aggiungono un sovraccarico al processo di compensazione degli assegni (e i clienti già odiano quanto tempo ci vuole), che non si ha più un backup se la parte leggibile dalla macchina di un controllo è danneggiata, e suppongo che si possa correre in difficoltà normative riguardo alla definizione legale di un assegno.
I rischi, d'altra parte, non sono enormi, perché le banche hanno altri controlli in atto. Autenticano le persone prima di consentire loro di rimuovere denaro e richiedono più di un semplice numero di conto per prelevare facilmente denaro. Usano vari metodi tecnici per prevenire i controlli di stampa di Eve con i dettagli di Alice. Hanno un'assicurazione per coprire eventuali perdite. Monitorano l'attività dell'account per transazioni sospette.
Un'ultima cosa da considerare: Alice deve comunque comunicare i dettagli del suo conto a un sacco di persone: il suo datore di lavoro (quindi viene pagato), l'uomo delle imposte, la compagnia idrica (per addebiti diretti) e così via. E lei deve incorporarlo nella sua carta di debito. E la banca deve stamparlo sulle sue affermazioni ... Quindi Eva ha molti altri modi per ottenere queste informazioni.
Alla fine, le banche hanno soppesato i costi e i rischi e hanno concluso che non ne valeva la pena - specialmente considerando il declino nell'uso dei controlli. L'ultima volta che ho provato a pagare qualcosa in un negozio, ho dovuto prendere il manager perché nessuno degli addetti alle vendite ne aveva visto uno prima tranne nei film.