Come può l'accesso American Express Serve essere conforme PCI-DSS?

0

Oggi sono andato a collegarmi al mio account American Express Serve al link e ho scoperto casualmente quello che sembra essere un enorme buco nel loro processo di accesso .

Ecco i passaggi coinvolti:

  1. Inserisci una email valida Inserisci l'indirizzo email nella casella Email.
  2. Digitare almeno un carattere nella casella Password.
  3. Esci dalla casella Password.
  4. "Inserisci una password valida." è ora mostrato in rosso sotto la casella della password.
  5. Torna alla casella Password e inizia a digitare caratteri.
  6. Con ogni carattere digitato, la password è selezionata. Una volta che la password è valida, il testo rosso scompare, indicando una password valida.

Ora, una volta premuto il pulsante Accedi, all'utente vengono poste domande sulla sicurezza. Questo sembra attenuare il problema, ma la password è già nota a questo punto !

Modifica:

I commenti in questa domanda sono corretti: la password non viene controllata. Quello che viene controllato è se i caratteri inseriti corrispondono ai requisiti della password. Questo sembra essere un comportamento ragionevole.

    
posta GaTechThomas 17.05.2015 - 19:44
fonte

1 risposta

8

start typing characters., Once the password is valid, the red text goes away, indicating a valid password.

Questo tipo di comportamento non viola necessariamente i requisiti PCI DSS.

Se il sito funziona nel modo in cui descrivi, non è molto buono dal punto di vista della sicurezza perché rende gli attacchi di forza bruta più difficili da rilevare, ma questo non lo rende non conforme.

Il motivo per cui non è molto buono dal punto di vista della sicurezza è che non vi è alcuna differenza dal punto di vista del sistema da un utente che digita una password di 10 caratteri a un utente che prova 10 password diverse, quindi qualsiasi tipo di limitazione della richiesta o blocco dell'account dovrebbe tenere conto dei "tentativi" fatti durante l'inserimento della password.

Come può essere conforme allo standard PCI DSS?

Molti dei requisiti della password PCI-DSS non si applicano agli accessi ai clienti, ma solo a "utenti non consumatori".

Ad esempio,

8.1.6 Limit repeated access attempts by locking out the user ID after not more than six attempts.

non si applica all'utente "cliente":

Requirements 8.1.1, 8.2, 8.5, 8.2.3 through 8.2.5, and 8.1.6 through 8.1.8 are not intended to apply to user accounts within a point-of-sale payment application that only have access to one card number at a time in order to facilitate a single transaction (such as cashier accounts).

Quindi, anche se questa non è una buona sicurezza, non c'è nulla che impedisca la conformità PCI.

Dichiarazione di non responsabilità standard: non sono un QSA, e anche se io fossi non sono tuo QSA, quindi la mia opinione non influenzerebbe la tua (o altrui) conformità.

In alternativa

Come Ian Cook note, sembra che il sito stia semplicemente controllando che la password soddisfi i requisiti di forza, non la password stessa. Pertanto la mia risposta sopra riflette il comportamento del sito come indicato nella domanda originale. Se il sito controlla solo la forza della password, il sito non avrà problemi a rilevare e rispondere a eventuali attacchi di forza bruta.

    
risposta data 17.05.2015 - 20:06
fonte

Leggi altre domande sui tag