I pin numerici temporanei a sei cifre sono abbastanza sicuri per gli account online?

1

Esiste un popolare servizio di trasferimento di denaro costruito da Square, cash.me, che utilizza un particolare sistema di accesso:

  1. Inserisci il tuo indirizzo email o il numero di telefono sul sito web.
  2. Ricevi un PIN temporaneo numerico a sei cifre tramite e-mail o numero di telefono
  3. Inserisci il PIN sul sito web
  4. Se il pin è corretto, l'utente ha effettuato l'accesso

Dopo questo, l'utente può visualizzare la cronologia delle transazioni. Se l'utente conosce il codice CCV per la carta di debito salvata, può persino inviare denaro a un altro utente (limitato a poche centinaia di dollari).

Sebbene abbiano una limitazione dei tassi piuttosto aggressiva, questo sembra essere vulnerabile a un attacco distribuito. Mentre sostengono che copriranno tariffe non autorizzate, sembra che le informazioni sull'account degli utenti non siano molto sicure. Per un prodotto moderno pubblicato nel 2011, questo ha senso, rispetto a un approccio basato su password più tradizionale?

    
posta user128907 27.10.2016 - 20:06
fonte

4 risposte

3

Dipende dal vettore di attacco

Alcuni esempi:

Gli hacker rubano 45 milioni di password . Il meccanismo PIN a sei cifre è immune da questo tipo di attacco, perché i PIN vengono generati al volo e presumibilmente hanno una vita breve. Non c'è nulla da rubare.

Come avrei hackerato la tua password debole . Il meccanismo PIN a sei cifre è immune a questo tipo di attacco, perché l'utente non li sceglie e non può essere dedotto da informazioni demografiche.

Brute force cracking . Il meccanismo PIN a sei cifre è non immune a questo tipo di attacco, ma l'hacker ha solo 1 su 1.000.000 di possibilità di farlo correttamente. A seconda del meccanismo di blocco che utilizza, l'hacker può avere 3-5 possibilità, che offre comunque quote molto basse.

D'altra parte, sei in una posizione meno comoda se

  1. Un hacker ruba la tua password e-mail
  2. Un hacker ruba il tuo cellulare
  3. Un hacker è in grado di intercettare la tua email perché non è stata inviata in modo sicuro
  4. Un hacker è in grado di intercettare il tuo SMS, in qualche modo ....

Potrebbero esserci altri meccanismi di sicurezza nascosti

I processori di pagamento tendono ad avere meccanismi di sicurezza aggiuntivi che non puoi nemmeno vedere. Ad esempio, il pagamento potrebbe finire con un motore a rischio e verrà bloccato o inviato ad un controllo incrementato se appare fraudolento (cioè se qualcuno sta inviando molte piccole transazioni in un unico luogo, o se l'indirizzo IP è in Siria, per esempio).

Chi è a rischio?

Potrebbe aiutarti a capire che i meccanismi di sicurezza nei siti dei processori di pagamento non sono tanto lì per proteggerti quanto per proteggerli loro . Sono quelli che devono inventare i soldi se qualcuno dei tuoi fondi viene rubato. La tua responsabilità personale è limitata a $ 50.

    
risposta data 28.10.2016 - 01:21
fonte
3

Il problema con SMS come fattore di autenticazione è che esistono numerosi metodi per sovvertirlo. In primo luogo, ci sono una serie di difetti di progettazione nella rete SS7 che consentono lo spoofing e il reindirizzamento dei messaggi SMS. In secondo luogo, se il tuo telefono è compromesso (ad esempio app malware), i tuoi messaggi ricevuti possono essere trapelati.

Questo documento (http://www.mulliner.org/collin/academic/publications/mulliner_dimva2013. pdf) pubblicato nel 2013 fornisce molti più dettagli sui problemi di sicurezza con gli SMS.

Attenzione, Square mantiene una certificazione livello 1 PCI-DSS che ha vari requisiti per la protezione dei dati PII e CC. Tuttavia, ciò non attenua le vulnerabilità ereditate dagli SMS.

    
risposta data 27.10.2016 - 22:49
fonte
2

Se il numero di sei cifre fosse appena stato una password ordinaria, sarebbe stato orribile - potresti facilmente forzare a forza quegli hash. Ma ora è un gettone una volta. Quindi in pratica quello che hai è quello che di solito è il secondo fattore come l'unico fattore. Basta?

Hai un milione di possibili numeri diversi. Finché è possibile proteggere da un bruto forzante il fatto che qualcuno indovini un numero è molto piccolo. Ma quanto può essere valida la tua protezione da forza bruta?

Potresti facilmente bloccare i tentativi di forza bruta su un account e da un IP. Ma un attaccante che utilizza un intervallo di IP (ad es. Da una botnet) che attacca gli account casualmente potrebbe entrare da qualche parte. Se fai tre ipotesi per IP da 1000 IP ogni giorno per un anno, avrai un milione di ipotesi. L'euristica più avanzata potrebbe probabilmente prendere alcuni attacchi di questo tipo, ma non scommetterei i miei soldi per essere in grado di prevenire tutti gli attacchi di quel tipo.

Quindi è abbastanza sicuro? Direi che dipende da cosa stai cercando di proteggere. L'hacking di un profilo di social media a caso non è abbastanza divertente per qualcuno a risolvere tutti questi problemi: lì si vuole hackerare un account specifico. L'hacking di un conto bancario casuale, d'altro canto, potrebbe valerne la pena ...

    
risposta data 27.10.2016 - 22:30
fonte
1

Ci sono 1 milione di possibilità per formare il giusto pin a 6 cifre considerando che usano i numeri da 0 a 9. Quindi un attaccante ha una probabilità del 0,000005% di indovinare il pin.

Se l'accesso viene effettuato tramite posta o telefono e il sito non richiede la password, considerarlo come metà di un'autenticazione a due factory. Quindi l'aggressore dovrebbe rompere l'account e-mail o rubare il telefono.

Diciamo che un account su questa pagina è sicuro quanto il tuo account e-mail o il tuo telefono (fisicamente).

    
risposta data 27.10.2016 - 21:13
fonte

Leggi altre domande sui tag