La sicurezza acquisita dai nomi utente bancari emessi in questo flusso di autenticazione? [duplicare]

1

La funzione di banca online di My Bank non utilizza i nomi utente. Invece, mi hanno assegnato un numero di account di sola cifra *. Per accedere, inserisco il mio numero, quindi mi porta a una nuova pagina per richiedere la mia password. Tuttavia sulla pagina della password c'è un'immagine che ho selezionato da un elenco di centinaia di immagini, oltre a una didascalia, presumibilmente nel caso in cui il tuo numero sia fat-dito. (ad esempio: [immagine di un sasso] "Un lookin cool")

C'è qualche valore acquisito nell'uso di questo metodo di sicurezza? Esiste una particolare caratteristica di questo metodo che potrebbe essere modificato / abbandonato per migliorare la sicurezza? Dovrei scrivere una e-mail alla mia banca?

Alcuni avvertimenti:

  • Ho provato con pochi numeri casuali (e caratteri), danno come risultato una pagina di richiesta di password con una delle immagini e una didascalia generica
  • Le didascalie delle immagini condividono un formato simile: sono sempre in minuscolo e descrivono l'immagine
  • Non sembra esserci alcuna forma di Captcha sulla pagina di login o password.

* Nota: non è uguale al mio numero di conto bancario (avrei eseguito).

    
posta schil227 10.04.2017 - 17:52
fonte

1 risposta

0

Is there any value gained in using this method of security?

Un po ', ma non molto (motivo per cui non è comune).

Rilasciando un ID utente invece di averlo scelto, la banca ha rafforzato il flusso di iscrizioni Online Banking contro gli hacker interessati a generare ID utente. Se sei stato in grado di sceglierlo, puoi provare vari ID utente per vedere se sono già stati ripresi.

Ora se ti hanno emesso la tua password , sarebbe diverso (sarebbe davvero pessimo).

Is there a particular feature of this method that could be changed/dropped to enhance security?

Eh, non proprio. Suppongo che potrebbero rendere l'identificatore alfanumerico per aumentare l'entropia, ma forse non vogliono rischiare di introdurre parole offensive a caso. E puoi ottenere lo stesso aumento di entropia aggiungendo più cifre.

Should I be writing my bank an email?

No. Probabilmente ci hanno pensato un po '. Se un hacker ha compromesso il tuo account, sono responsabili della perdita, non tu, ammesso che siano membri di FDIC.

I've tested with a few random numbers (and characters), they result in a password prompting page with one of the images and a generic caption

Se il loro sistema è progettato correttamente, quelli dovrebbero essere falsi. Un ID utente dovrebbe essere difficile da indovinare. Se sono sequenziali, c'è sicuramente un problema.

The picture captions share a similar format: they're always in lowercase and describe the image

Le didascalie sono lì solo per la conformità 508 / ADA / WCAG. Gli utenti non vedenti non possono vedere le immagini ma possono fare in modo che uno screen reader le legga le didascalie.

There doesn't appear to be any form of Captcha on either the login or password page.

La maggior parte degli utenti odia CAPTCHA e non è realmente necessaria se implementa un meccanismo di blocco appropriato con una versione di blocco automatico temporizzata.

    
risposta data 10.04.2017 - 22:27
fonte

Leggi altre domande sui tag