Invio dei pin: SMS, mail o pin mailer?

In un mondo ideale , il PIN non dovrebbe mai essere trasmesso all'utente; invece, l'utente lo sceglierebbe.

Sperimentalmente, per le carte bancarie, ho riscontrato due metodi:

1. La banca sceglie il PIN e lo invia come una lettera, con alcuni espedienti per la stampa per evitare di leggere il PIN con una lampada, abusando della trasparenza della carta.

2. Un codice PIN temporaneo viene assegnato dalla banca, dato direttamente a me al banco dall'impiegato, e lo cambio immediatamente tramite un terminale di pagamento (sul bancone) o con l'ATM (che si trova nel stessa stanza).

Questo mondo non è l'ideale , quindi la situazione spesso impone una trasmissione remota di un PIN, selezionata dall'organizzazione, e inviata all'utente. In tal caso, poiché non esiste un canale veramente sicuro per comunicare con l'utente, l'idea è channel separation : il PIN viene trasmesso in un modo che è diverso dal modo in cui vengono inviate le informazioni complementari.

Le e-mail sono notoriamente scarse per la sicurezza. Sono, per impostazione predefinita, non autenticati e possono viaggiare come testo normale. Vengono memorizzati sul server di ricezione, con un tempo di ritenzione incontrollato e spesso con molti backup. I server SMTP attraverso i quali i transiti di posta elettronica memorizzano anche una copia su un supporto di memorizzazione per quantità di tempo non facilmente misurabili, per non dire configurati. Un'e-mail è un luogo di archiviazione davvero brutto per un valore segreto.

Gli SMS sono alquanto migliori. Quando vanno in onda, vengono crittografati insieme ai normali meccanismi del telefono cellulare. Quando sono stati riconosciuti dal telefono ricevente, vengono rimossi dai server di distribuzione: il modello SMS è costruito attorno all'archiviazione basata su dispositivo, contrariamente alle e-mail in cui la normale posizione di riposo di un'e-mail è il server di posta elettronica. C'è ancora molto potenziale di perdita, in particolare quando il telefono viene sincronizzato con un sistema di archiviazione basato su cloud. In effetti, la cosa migliore che si può dire su SMS, se confrontata con le e-mail, è che il malware del telefono è ancora per il momento meno diffuso rispetto ai malware desktop.

Potresti usare una telefonata, con un vero umano o un sistema robot. Un trasferimento basato sulla voce rende meno probabile la conservazione di copie indesiderate su alcuni server. È anche compatibile con gli utenti che non dispongono di un telefono in grado di ricevere SMS (sì, ci sono ancora alcune persone in quel caso).

Le e-mail su supporto cartaceo non sono affatto sicure, ma l'intercettazione di una lettera di questo tipo richiede la presenza fisica vicino all'abitazione del destinatario. A seconda del contesto, questo potrebbe essere abbastanza distinto da qualsiasi cosa il PIN debba proteggere per ottenere una buona sicurezza. La brutta situazione è quando il PIN è per una carta di credito, e la carta di credito e il PIN sono inviati come lettere. Quindi, un attaccante che può intercettare il PIN può anche intercettare la carta. In tale situazione, è probabile che le banche richiedano un'attivazione esplicita con una telefonata, in cui l'utente verrà autenticato attraverso la conoscenza di "valori segreti" (data di nascita, nome da nubile della madre ... segreti di alta qualità, come è possibile immaginare).

Fai attenzione che il modello di sicurezza possa variare. Le banche, per esempio, non cercano di ottenere una sicurezza perfetta per tutti gli utenti; quello che vogliono è fare soldi . Pertanto, si adopereranno per ottenere il miglior compromesso, ovvero il metodo che riduce al minimo i costi complessivi. Possono tollerare un po 'di frode, se altri metodi più sicuri sarebbero più costosi da gestire o alienerebbero una percentuale non trascurabile di potenziali clienti. Va ricordato che la sicurezza della banca riguarda la protezione della banca, non l'utente (indipendentemente da ciò che può rivendicare nei propri annunci).

Gli umani non sono in grado di generare numeri casuali. Il PIN generato dall'uomo è prevedibile . Se si utilizza il PC per generare il PIN, sarà anche prevedibile. Questo è il motivo per cui le soluzioni di emissione di carte si basano su dispositivi HSM speciali in grado di generare numeri casuali reali. Tali dispositivi sono richiesti dal regolamento PCI. Questo è uno dei motivi per cui PIN deve essere consegnato, non impostato (tuttavia, questo può aprire una discussione completamente nuova). Tuttavia, hai ragione, il PIN mailer non è sicuro. La domanda principale è più sicura di qualcos'altro. Bene .. dipende cosa.

Ogni canale di consegna PIN che hai menzionato ha le sue vulnerabilità. Il rischio SMS è principalmente legato alla scarsa sicurezza della comunicazione tra la banca e il provider SMS (principalmente all'interno del provider stesso, io non sono parlando del tunnel IPsec) e dipende molto e varia tra i diversi provider. L'utilizzo di aggregatori di SMS per l'invio di PIN di testo chiaro è probabilmente il peggiore che si possa fare. L'altra parte del rischio SMS è correlata agli smartphone (ad esempio Android) in cui le applicazioni non attendibili possono accedere ai messaggi SMS . Pertanto, l'invio di SMS confidenziali al telefono Android è una cattiva idea. L'utilizzo di Internet come canale di consegna ti consente di utilizzare una crittografia end-to-end migliore, pertanto questa vulnerabilità è inferiore. Tuttavia, poiché Internet è una rete aperta, ci sono numerose altre vulnerabilità come l'uomo nel medio attacg basato sul server proxy tra il client e il server. E ancora una cosa, se progettato correttamente, i sistemi di produzione di schede non sono in grado di decrittografare il PIN in modo da non poterlo leggere. E alla fine, il possessore della carta deve proteggerlo nel miglior modo possibile;)