Insolito? Sì. Pazzo? No. Continua a leggere per capire perché ...

Mi aspetto che la tua banca abbia una politica di blocco strong, ad esempio tre tentativi di accesso errati bloccano l'account per 24 ore. Se questo è il caso, un PIN di 6 cifre non è vulnerabile come si potrebbe pensare. Un utente malintenzionato che ha provato tre PIN ogni giorno per un anno intero, avrebbe comunque solo una probabilità dello 0,1% di indovinare il PIN.

La maggior parte dei siti Web (Facebook, Gmail, ecc.) utilizza come nome utente sia gli indirizzi di posta elettronica che i nomi selezionati dall'utente, e questi sono facilmente indovinabili dagli autori di attacchi. Tali siti tendono ad avere una politica di blocco molto più rilassata, ad esempio tre blocchi di login errati per account per 60 secondi. Se avessero una politica di blocco più strong, gli hacker potrebbero causare ogni sorta di problemi bloccando le persone legittime dai loro account. La necessità di mantenere gli account protetti con una politica di blocco rilassato è il motivo per cui insistono su password complesse.

Nel caso della tua banca, il nome utente è un numero di 16 cifre - il tuo numero di carta. In genere si mantiene il numero della carta privato. Certo, lo usi per le transazioni con carta (online e offline) ed è nel tuo portafoglio in chiaro - ma è ragionevolmente privato. Ciò consente alla banca di avere una politica di blocco più strong senza esporre gli utenti agli attacchi denial of service.

In termini pratici, questo accordo è sicuro. Se il tuo compagno di casa trova la tua carta, non possono accedere al tuo account perché non conoscono il PIN. Se alcuni hacker tentano di incidere migliaia di account, non possono perché non conoscono i numeri delle carte. La maggior parte dei compromessi di account si verificano a causa di phishing o malware e un PIN di 6 cifre non è più vulnerabile a tali attacchi rispetto a una password molto lunga e complessa. Sospetto che la tua banca non abbia più problemi di sicurezza giorno per giorno rispetto ad altre banche che utilizzano password normali.

Hai detto che le transazioni richiedono l'autenticazione a più fattori. Quindi il rischio principale di un PIN compromesso è che qualcuno potrebbe visualizzare i dettagli del tuo private banking. Potrebbero vedere il tuo stipendio e la tua storia di acquisti poco raccomandabili. Alcune persone hanno menzionato che un PIN di 6 cifre è banalmente vulnerabile a un attacco di forza bruta offline. Quindi, se qualcuno ha rubato il database, potrebbe rompere il tuo hash e ottenere il tuo PIN. Anche se questo è vero, non ha molta importanza. Se hanno violato il PIN, possono accedere e vedere la cronologia bancaria, ma non effettuare transazioni. Ma in quello scenario possono comunque vedere la tua storia bancaria - hanno già rubato il database!

Quindi, anche se questa disposizione non è tipica, sembra che non sia poi così pazzo. Un vantaggio che potrebbe avere è che le persone non riutilizzeranno la stessa password su altri siti. Sospetto che lo abbiano fatto per motivi di usabilità: le persone si sono lamentate del fatto che non ricordavano le password lunghe e complesse che il sito richiedeva in precedenza.

Una password numerica a 6 cifre non fa molto.

Perché 6 cifre?

Troy Hunt ha un eccellente blog sull'essere obbligati a creare password deboli dove parla di varie cattive pratiche, tra cui la forzatura di brevi password numeriche e propone la scusa spesso usata che

“We want to allow people to use the same password on the telephone keypad”

L'unica ragione valida per richiedere una password numerica è che l'unico input disponibile per un utente è numerico (ad esempio con gli ATM); (analogamente, l'unica ragione valida per richiedere una password leggibile dall'uomo è che un essere umano lo leggerà - che sarebbe un pessimo cattivo segno se fosse usato non solo per il telefono bancario, ma anche per il sito web) .

Ma se questa è la ragione, perché mai ti costringeranno a usare lo stesso codice di accesso non sicuro online (o sul cellulare), quando avrai accesso a una tastiera qwerty completa?

Quanto è facile forzare la forza in entrata?

Ci sono 10 ⁶ possibili password composte da 6 cifre.

Per un aggressore non qualificato, entrare nel tuo account non è affatto un problema se hanno il tuo nome utente e tentativi illimitati. Dovresti presumere che abbiano il tuo nome utente. I nomi utente non sono segreti.

Supponiamo che la banca abbia pensato a questo, e blocchi ogni account dopo 3 cattivi tentativi, o forse avvia un'opzione di limitazione del robot come un captcha per riprovare dopo. Quindi l'autore dell'attacco ha ancora una possibilità di 3/1000000 di entrare in un account casuale all'interno di quella finestra.

Ciò significa che se attaccano 1000000 account, possono aspettarsi di entrare in 3. E fare 3000000 richieste non richiederebbe molto tempo.

Confrontalo con quante password ci sono con 6 caratteri alfanumerici (secondo la maggior parte degli standard di sicurezza, troppo brevi e non abbastanza complessi).

Ci sono 62 ⁶ = 56800235584 possibili password alfanumeriche a 6 caratteri. Questo è ancora troppo debole ma è già 56800 volte più strong!

Memorizzato in modo sicuro?

Inutile dire che se il database degli utenti è stato violato, 10 ⁶ possibili password è un'entropia ridicolmente bassa, e qualunque sistema di hashing e salatura hanno usato, non possono mantenere sicuro il tuo passcode.

Il piano della tua banca nel caso di una violazione del database presumibilmente si arrende e piange. Forse pensano che il risultato sia così grave che non hanno intenzione di programmarlo.

Supponendo che l'altro metodo di autenticazione sia sicuro, dovrei preoccuparmi?

Un utente malintenzionato che vede la tua cronologia delle finanze è un grosso problema; dovresti essere preoccupato anche se l'altro metodo di autenticazione che blocca i trasferimenti è sicuro. E non dovresti aspettarti che l'altro metodo sia sicuro.

Quante altre informazioni sono trapelate su di te senza il secondo metodo di autenticazione? Il tuo nome, indirizzo, email, forse?

Questi sono più che sufficienti per iniziare a fare ricerche di base su di te, per ottenere ulteriori informazioni - questi potrebbero essere indizi per l'altra tua password, o buone informazioni forti su come farti phishing. Potrebbero provare a chiamarti, usando le informazioni che hanno su di te finora per ottenere la tua fiducia, fingere di essere la banca, e indurti a rivelare altri segreti su di te con uno stratagemma che devi autenticare rispondendo agli ultimi domande di cui hanno bisogno per accedere al tuo account.

Come altro esempio, se il 2 ° metodo di autenticazione è una password strong , ma tu (e per la maggior parte dei clienti il "tu" non è esperto di tecnologia) ma il cliente ha mai stato incluso in una violazione del database per un altro sito web in cui hanno usato lo stesso nome utente / email e password, quindi il suo gioco finito. - Questa logica si applica a qualsiasi sistema basato su nome utente / password, ma è particolarmente rilevante in questo caso perché l'autore dell'attacco è in grado di scoprire altre informazioni su di te esposte dal primo metodo di autenticazione non sicuro e perché la seconda password è ora solo per impedire loro di prendere i tuoi soldi - questo è uno dei motivi per cui lo standard industriale richiede un'autenticazione a 2 fattori sui siti web bancari prima che mostrano all'utente qualsiasi cosa.

Per quanto riguarda gli standard del settore; la mia banca non ha una password di lunghezza massima con la possibilità di acquisire caratteri speciali, quindi la segui con un 2 ° passcode che può essere inserito solo selezionando alcune lettere da una serie di menu a discesa (quindi l'intero 2 ° passcode non viene utilizzato in un singolo tentativo).

Preferirei che la mia banca usasse un secondo fattore di autenticazione fuori banda; come un codice inviato al mio telefono.

Risposta originale

Questa è una cattiva, cattiva politica. Esistono solo 10 ⁶ o un milione di numeri a 6 cifre diversi. È troppo piccolo.

È quasi impossibile prevenire un attacco di forza bruta offline, non importa quanto sia lento un algoritmo di hash che usi. Se un tentativo richiede 1 secondo, crei una password in 11 giorni. Potrebbe anche essere troppo poco per fermare completamente un attacco di forza bruta online intelligente, se l'attaccante può usare più IP (per esempio, controllando una botnet) e ha molti numeri di carte differenti da provare.

Ciò è reso peggiore dal fatto che, proprio come con le password ordinarie, la maggior parte delle persone non li seleziona a caso . 123456 è destinato a mostrare molto, così come i numeri che rappresentano le date. In pratica, la maggior parte delle password avrà molto meno di 6 × log ₂ (10) ≈ 20 bit di entropia.

Non vedo ragioni per cui non ti si dovrebbe permettere di scegliere una password più strong. Questa pratica invia il segnale che semplicemente non si preoccupano della sicurezza. Mi fa anche sospettare che da qualche parte nel loro database ci sia un NUMBER(6) invece di un hash memorizzato.

Il fatto che i pagamenti non possano essere effettuati senza un altro fattore di autenticazione è un po 'confortante, ma non molto. Un utente malintenzionato potrebbe comunque visualizzare la cronologia dell'account, qualcosa che potrebbe contenere informazioni molto delicate e anche essere utilizzato per il phishing.

Anche se questo probabilmente non sarà mai usato contro di te, se fossi in te, prenderei in considerazione il passaggio a una nuova banca. Preferibilmente uno che richiede l'autenticazione a due fattori all'accesso.

Ulteriori commenti

C'è stata qualche discussione nei commenti e alcune buone risposte con un'altra vista è spuntata, quindi mi piacerebbe elaborare e rispondere ad alcune critiche.

Ma i nomi utente sono segreti!

Secondo la domanda, i numeri delle carte d'identità (da non confondere con i numeri delle carte di credito) sono "quasi pubblici", e OP ha chiarito nei commenti di averli visti come "risultati per i servizi del settore pubblico". In altre parole, i nomi utente non sono segreti . E non dovrebbero esserlo - se la sicurezza del tuo sistema si basa sul fatto che i nomi utente sono segreti, stai sbagliando.

Il limite di velocità per account e / o numero IP si occuperà di questo.

Un attacco di forza bruta distribuita, ad es. usando una botnet, avrebbe una buona possibilità di rompere alcuni account. Diciamo che hai 10.000 computer e ogni computer prova 3 password al giorno durante un mese su diversi account. Questo è circa 10 tentativi ⁶ . Questo ti darà un account in media se le password sono veramente casuali. Nel mondo reale, otterrai molto, molto di più.

Certo, la banca potrebbe teoricamente disporre di un sistema sofisticato per rilevare e difendersi da attacchi come questo. Forse sì forse no. Come cliente, non ho modo di saperlo, e di certo non mi fido di un'organizzazione che non può nemmeno ottenere la politica della password per fare qualcosa di più avanzato.

Un attacco offline è irrilevante. Se le password sono fuori, lo sono anche i dati sensibili che stanno proteggendo.

Forse, forse no. Ci sono un sacco di discariche di dati che circolano su Internet con dati incompleti. Affermare che le password saranno per sempre incollate alla cronologia del tuo account fa alcune ipotesi molto forti su come è avvenuta la violazione e su come sono stati gestiti i dati successivamente.

Il PIN della carta di credito ha solo quattro cifre, quindi cosa importa comunque?

Il PIN della carta di credito è un fattore debole in un'autenticazione a due fattori. L'altro fattore - il possesso della carta - rende il sistema più strong.

Questa password è un fattore debole ed è anche l'unico fattore che protegge le informazioni finanziarie.

Conclusione

Per essere chiari, non sto dicendo che sarebbe impossibile per una banca rendere questo sistema sicuro con altri mezzi. Non sto dicendo che un attacco di successo sull'account di qualcuno sia probabile, ancor meno sul tuo specifico. Quello che sto dicendo è che questo non è "abbastanza sicuro" per una banca.

La banca ha già attraversato il problema di impostare l'autenticazione a due fattori per i trasferimenti finanziari. Perché non utilizzarlo solo per i login?

La banca ha (si spera) già passato attraverso il problema di eseguire l'hashing di una password e archiviarla in un database. Perché non rimuovere solo la parte del codice che limita la password a sei cifre?

Opinione contraria: fai attenzione

È molto probabile che tu, in quanto utente, non sia stato informato di altre misure di sicurezza messe in atto dalla tua banca di fronte a il tuo PIN. So che per CapitalOne360, che ha un sistema pin simile a 4 - 6 cifre, sono rimasto scioccato! Ma dopo un po 'di utilizzo del PIN sullo stesso computer, ho finalmente dovuto effettuare il login su una macchina alternativa (IP diverso, browser diverso). Quando l'ho fatto, in realtà mi ha chiesto una password . Non solo, ma dopo aver inserito correttamente la password, ho anche richiesto il mio PIN come bonus.

Dopo alcune ricerche, ho scoperto che il browser richiede una password solo quando l'utente visita per la prima volta il sito Web e riceve una sorta di cookie di autenticazione. Una volta che l'account utente è attendibile sulla combinazione IP / cookie di quella macchina, consente quindi l'accesso senza password e solo tramite PIN. Ma la prima volta che l'utente effettua l'accesso, ARE richiede l'immissione di una password. Potresti semplicemente non sapere della pratica ( come ero ).

Trovo incredibilmente improbabile che una banca che ha già un sistema funzionante funzionante con password funzionerà completamente per un numero PIN numerico di soli 6 cifre. Le aziende possono forse sembrare stupide, ma considerando che un'autenticazione a 6 cifre infrange il buon senso, così come gli standard PCI, dubito sinceramente che questo sia l'unico presente di autenticazione. Forse il poster originale può gettare ulteriore luce su questo nel caso in cui mi sia sfuggito qualcosa.

Is a 6 digit numerical password secure enough for online banking?

No, non lo è, non solo per la capacità di un utente malintenzionato di rompere un tale meccanismo di autenticazione, ma perché viola PCI -DSS standard di conformità e le indicazioni FFIEC sull'autenticazione. Inoltre, è stata richiesta l'autenticazione a più fattori dalla guida FFIEC dal 2006 .

Sono abbastanza sicuro che manchi qualcosa nell'esame del tuo sito web, ovvero potrebbero esserci ulteriori fattori di autenticazione che si attivano solo in determinate circostanze, ad es. se si modifica il dispositivo o l'indirizzo IP. Oppure, oppure non stai scrivendo su un vero sito web di banking online, ma su qualche sito di assistenza finanziaria di terze parti (che probabilmente smetterei di usare se fossi in te).

Prenderò una posizione contrarian e dirò di sì, è abbastanza sicuro, per una banca.

1. Le banche di solito hanno un sacco di soldi per recuperare dalle violazioni
2. Le banche di solito hanno molta influenza sul governo e possono evitare azioni legali collettive (io vengo dal Canada, e abbiamo solo poche, grandi banche)
3. Le banche hanno molti clienti e meno chiamate di assistenza = più soldi in tasca
4. Le banche di solito funzionano su vecchi mainframe, che sono costosi da aggiornare
5. Le banche di solito hanno un software di rilevamento delle frodi che analizza tutte le transazioni

Quindi, non è una questione di sicurezza assoluta, è una questione se questa politica delle password è massimizzare il profitto. Nella maggior parte dei paesi occidentali, gli amministratori della banca sono legalmente tenuti a massimizzare il profitto per gli azionisti.

Dal punto di vista del cliente:

Non consiglio di provare a forzare la tua password, ma se lo facessi, noterai (si spera) un blocco dell'account dopo 3-5 tentativi. Questo riduce l'efficacia degli attacchi a forza bruta.

Con la mia banca, mi vengono poste domande di sicurezza se accedo da un computer con cui non ho effettuato l'accesso in precedenza. Quindi un hacker, su un altro computer, dovrebbe indovinare la password e conoscere la risposta alla domanda di sicurezza.

Se sei un consumatore, il tuo governo spera che fornisca protezione al consumatore con conseguente restituzione dei tuoi soldi in caso di frode.

Rispetto alle pratiche comuni nel settore, le tue condizioni non sono così insolite. La mia banca ha politiche simili, con due differenze notevoli:

• il nome utente NON è il mio numero di carta. L'ho ricevuto per posta in una busta protetta, simile a quella utilizzata per inviare il mio PIN. Non è un vero segreto, ma può anche essere trovato su alcune delle affermazioni.

• la mia password è numerica con 6 cifre MINIME (fino a 10 cifre credo). Tuttavia, io uso un pin a 6 cifre.

Anche il mio account di banking online viene bloccato dopo 3 tentativi di accesso falliti, quindi sono abbastanza fiducioso che non verrà forzato brutalmente. Suppongo che la tua banca abbia la stessa politica; potresti voler leggere il tuo contratto o verificare per essere sicuro. Non mi è mai stato negato l'accesso al mio account tranne che una volta ho dimenticato una delle cifre e ho provato a forzarla.

Sembra una sicurezza debole, ma in realtà un attacco di forza bruta non è fattibile per l'online banking.

Le banche usano sistemi di rilevamento delle frodi molto robusti e un monitoraggio molto rigoroso. Il blocco degli account richiede in genere una chiamata telefonica per riattivare, a differenza di molti altri sistemi online che utilizzano semplicemente un blocco basato sul tempo.

Utilizzeranno quasi certamente token anti-contraffazione nel modulo di accesso, quindi non è possibile semplicemente inviare richieste di posta al punto finale e aspettarsi che funzionino. Realisticamente, ci si limiterà all'hacking dell'automazione del browser, che rallenterà notevolmente le cose e richiederà una programmazione molto più complessa da configurare. Molti siti di banking online utilizzano anche tastiere generate casualmente, quindi il tuo script di automazione dovrebbe essere in grado di eseguire l'OCR per riconoscere quali tasti premere.

Quindi, in pratica, la lunghezza del pin breve non è il più evidente errore di sicurezza che altri suggeriscono.

In genere la forza bruta non è il modo in cui gli account online sono comunque compromessi. Il phishing e l'ingegneria sociale sono i metodi preferiti e la lunghezza / complessità dei pin non aiuta a prevenire questo.

Se come hai indicato nelle note:

Someone entering my account is still not able to make a payment before it goes through another security mechanism (which we will assume to be good).

Quindi è probabile che l'unica cosa che la password di 6 cifre protegge sia il saldo e la cronologia del conto.

Per fare un confronto: la mia banca giapponese mi invia la cronologia del mio account stampata, in una posta ordinaria. La mia casella di posta non è protetta e chiunque può recuperare la lettera.

Quindi una password di 6 cifre (possibilmente con un limite di tentativi e un timeout) sembra un miglioramento.

non è abbastanza sicuro dal punto di vista globale. Pensare di avere il sistema che tenta di accedere a 100000 account, utilizzando un numero di password. Perché molte banche fanno affidamento su di esso, è al di sopra della mia comprensione. Anche la visualizzazione del tuo account (senza la possibilità di prelevare denaro) può effettivamente fare male (indirizzo, ballance, ...).

Un altro problema è che persino il blocco del tuo account può essere una sorta di ingegneria sociale. Non dovrebbe essere possibile bloccare l'account di qualcun'altro digitando 3/5 password errate. Non è usato molto come tale, ma può fare molto danno o disagio. Pensa a qualcuno che blocca di proposito l'account di un altro, quindi chiamalo "per conto di una banca" per motivi fisici. O solo per l'ansia (vendetta online ecc.)

Nell'immagine grande potrebbe essere più sicuro.

Quando noi del computer parliamo di sicurezza parliamo di bit di entropia, algoritmi di hash, tentativi di forza bruta e simili. È facile dimenticare una regola semplice e inevitabile. Le persone sono stupide! Tutto ciò che esce dalla finestra quando un utente scrive la sua password, il numero del pin e la domanda / risposta sulla sicurezza su un pezzo di carta, avvolge quel foglio attorno alla loro carta bancomat e spinge l'intera cosa nel loro portafoglio. (O mette la loro password su una nota adesiva gialla sotto il monitor.)

L'uso di una singola password di 6 cifre, in combinazione con l'autenticazione a più fattori, e una politica di blocco strong è probabilmente molto meglio "nella grande immagine", quindi diverse password più complesse.

Prendiamo un esempio:

Old Way :

Un utente imposta il proprio account, quindi deve scegliere un pin della carta. Viene detto loro di usare un numero che possono ricordare. La maggior parte delle persone sceglie una data o una combinazione di date o 1234.

All'utente viene quindi chiesto di impostare una "domanda di sicurezza e una risposta" per quando chiamano. Scelgono qualcosa come "A quale scuola elementare sei andato in quinta elementare?"

All'utente viene quindi chiesto di impostare una password sicura sul sito Web, ma odia queste cose perché non possono mai ricordare una password sicura, quindi impostano "sunsname123 @" e il teller lo scrive per loro e l'utente lo spinge nel proprio portafoglio.

Questa è una pratica abbastanza normale. I numeri di pin possono essere individuati solo avendo bisogno di controllare un sottoinsieme dei numeri che potrebbero essere una data valida, in alcune combinazioni. La domanda di sicurezza è inutile, in quanto è di dominio pubblico e la password soddisfa tutti i requisiti tecnici o una "password sicura", ma non lo è.

New Way :

Un utente imposta il proprio account e viene chiesto di scegliere un pin di 6 cifre. Ne scelgono ancora uno basato su una data.

L'utente viene quindi aiutato, di dato, o gli viene detto di installare un autenticatore a più fattori (per ora fai finta di avere un portachiavi).

Ora, a prescindere dalla transazione, che si tratti di un bancomat o di una succursale o per telefono, puoi chiedere allo staff della banca e al cliente di fornire / ricevere il codice PIN e il codice MFA.

Nel mondo reale questo probabilmente presenta meno rischi rispetto a quelli meno inclini alla sicurezza che chiamano una volta alla settimana perché hanno dimenticato la password, fornendo la risposta pubblica alla loro domanda di sicurezza, reimpostando la password e annotandola di nuovo AGAIN e bloccandola nei loro portafogli.

Quasi, ma non proprio

È "abbastanza sicuro" nel senso che a prima vista è altamente improbabile (quasi impossibile) che qualcuno entri nel tuo account e possa accedere a dati come ad es. il saldo del tuo account e nella misura in cui è ancora meno probabile (a causa dell'autorizzazione di due fattori) che saranno in grado di effettuare una transazione.

È not abbastanza sicuro nella misura in cui è banalmente possibile inserire numeri di account casuali con PIN casuali (il formato esatto del numero di conto, comprese le cifre di controllo, è di dominio pubblico, questo limita enormemente la ricerca spazio). Nota come casuale-casuale è solo ciò che è la precondizione per il paradosso del compleanno, quindi la fortuna è dalla parte dell'attaccante.

A meno che il banco non blocchi per indirizzo IP quando si attiva il blocco (improbabile, ma anche così è possibile eseguire l'attacco banalmente da una botnet), la loro politica di blocco strong vale esattamente niente contro questo attacco. Puoi testare letteralmente decine di migliaia di combinazioni account / PIN al secondo.

Sì, non è possibile indirizzarti personalmente , ed è ancora un po 'noioso indirizzare a qualcuno , ma non è praticamente mirato a qualcuno impossibile, è interamente fattibile senza nemmeno irrompere nel server e rubare il database dell'account o simili.

Ora, se consideri la possibilità che qualcuno legga il tuo saldo del conto e dati personali e conosca il tuo reddito come qualcosa con cui puoi convivere (non hai nulla da nascondere, vero?), questo è comunque preoccupante cosa.

Non solo ora sanno chi sei e dove vivi (e se vale la pena rubare la casa o il rapimento di tuo figlio), ma è anche possibile dare solo il nome e il nome del titolare dell'account valido così come numero di conto in addebito diretto .
Abbastanza sicuro, puoi contestare la transazione - se ne accorgi entro 4 settimane. Ma se ti sfugge, è solo una sfortuna per te. In entrambi i casi, ci sono molti problemi.

Sì, va bene, ma solo se fa parte dell'autenticazione a più fattori * e include un sistema di verifica dei canali laterali sulle azioni dell'utente **.

Tutte le soluzioni meno sicure non sono, a mio avviso, adeguate in una moderna banca internet e non riguardano computer infetti, MIB, ecc.

* Ad esempio, devi garantire il computer che stai utilizzando, tramite il tuo telefono cellulare.

** Ad esempio, ogni azione di pagamento viene inviata con un codice al tuo telefono cellulare che include anche dettagli sull'azione di pagamento che stai accettando.