Sicurezza della tabella di codici "super pin" condivisa su meineschufa.de

2

Il servizio di segnalazione del credito brank tedesco "Schufa" utilizza un cosiddetto "SuperPIN" per consentire agli utenti di reimpostare la propria password. Questo super pin è una permutazione di 30 lettere maiuscole e minuscole e cifre ed è spedito per posta all'utente al momento della registrazione.

Per resettare la password il sistema seleziona due posizioni e richiede i caratteri in quelle posizioni.

Mi chiedo quanto sia sicuro questo sistema contro gli attacchi al server. Il superpin non può essere memorizzato salato e hash perché il server ha bisogno di accedere a ogni singolo carattere. Macinare e salare il personaggio in ogni posizione (o tutte le 870 combinazioni a coppie) non resisterà nemmeno a un attacco di forza bruta contro l'hash.

Da questo fatto non posso ricavare un vantaggio sulla posta che spedisce un codice di reset all'utente. Cosa mi è mancato?

    
posta ordnungswidrig 10.10.2014 - 11:46
fonte

1 risposta

1

Stiamo parlando del database di una banca, e questo non è il tuo database medio. È un tipo speciale di database, quando ogni passo viene controllato, ogni modifica viene registrata. Quindi una perdita di database è molto, molto improbabile.

Se qualcuno può accedere al database bancario, perché preoccuparsi del PIN o della password per qualsiasi utente? Possono andare direttamente al denaro.

La ragione per inviare posta di lumaca per l'utente è che la banca può quasi sicuramente sapere che solo i veri proprietari dell'account hanno i codici di reset. Se qualcun altro tenta di reimpostare il PIN utilizzando le informazioni rilevate, fallirà perché il frodatore non ha i codici di ripristino.

E a meno che il frodatore non riesca a convincere il proprietario dell'account a rivelare i codici, solo il proprietario può reimpostare il PIN.

    
risposta data 10.10.2014 - 15:30
fonte

Leggi altre domande sui tag