Il mio account online presso una società finanziaria è sicuro?

Naviga le tue risposte
0

Ho recentemente aperto un conto presso una società di intermediazione, con sede in India, che sfortunatamente mi sembra che non stia seguendo una buona misura per garantire la sicurezza. Ma forse sbaglio dal momento che non sono un esperto in questo campo. Quindi sto chiedendo aiuto.

L'azienda sul suo login pagina web, limita la lunghezza della password a un massimo di 12 caratteri e mi chiede di rispondere a 5 domande stupide come "Qual è il nome da nubile di tua madre?" come misura 2FA. Per qualche motivo, in una delle loro pagine Web delle FAQ, suggeriscono anche che l'utente può rispondere alle 5 domande con "a" poiché sarà più facile da ricordare. Come misura aggiuntiva di sicurezza se inserisco una password errata più di 3 volte, il mio account sarà bloccato e dovrò resettare il mio account usando le 5 domande di sicurezza. Nella loro politica sulla privacy menzionano solo un fatto sulla sicurezza dell'account, che usano la crittografia SSL. Non menzionano mai se hanno effettuato verifiche di sicurezza da Verisign, Norton o altre terze parti.

Loro sono nella loro sicurezza online? In tal caso, quanto e quali sono le misure minime che un'istituzione come loro dovrebbe adottare per garantire la sicurezza online del proprio account clienti?

    
posta user120932 09.08.2016 - 09:04
fonte

2 risposte

-1

Una password di 12 caratteri è abbastanza lunga da non essere facilmente crackabile.

Sei sicuro che quelle domande riguardino i 2FA? Non ha senso. È probabile che tali domande contribuiscano al processo di recupero, ma in definitiva non sono un 2FA. Quella raccomandazione nelle loro FAQ è piuttosto WTF ??, credo che molta gente stia usando quella risposta alle loro domande xD

I tre tentativi o il blocco sono IMO molto rigidi, ma bene, ci hai aggiunto sicurezza.

In sintesi, se si tratta di una società finanziaria legale, dovrebbe aver superato PCI-DSS , in modo da poter essere sicuri che ha un buon standard di sicurezza.

    
risposta data 09.08.2016 - 09:21
fonte
-1

Lavoro nel settore della sicurezza IT come revisore IT. Hai ragione ad essere preoccupato perché dalla tua descrizione il sito è non protetto . Punti di debolezza specifici sono descritti di seguito:

Use of the no longer secure SSL protocol

Secure Sockets Layer (SSL) è non più sicuro a causa di attacchi di downgrade come POODLE Le versioni precedenti di Transport Layer Security (TLS) condividono problemi simili. Se possibile, il sito dovrebbe utilizzare TLS 1.2.

No mention of use of certificates for the website

I certificati vengono utilizzati per convalidare l'identità del sito Web al quale si sta effettuando l'accesso. Senza un certificato valido non puoi essere sicuro di accedere al vero e legittimo sito web perché il sito web potrebbe essere un sito di phishing progettato per simulare il sito reale. Le informazioni chiave che vorresti confermare per essere a tuo agio in sicurezza sono:

  1. Metodo utilizzato per firmare i certificati - lunghezza della chiave e metodo di crittografia

  2. Chi è l'Autorità di certificazione (CA) che ha firmato il certificato e se questa CA è attendibile dal tuo browser.

  3. Indipendentemente dal fatto che il nome del certificato corrisponda al nome del sito Web e alla data di scadenza del certificato.

Altri fattori chiave non menzionati, ma che desideri validare sono:

Password requirements other than length

I requisiti della password dovrebbero idealmente includere requisiti di complessità come la combinazione di lettere maiuscole, lettere minuscole, numeri e caratteri speciali. Lo scopo è quello di mitigare l'attacco brute force in cui vengono utilizzati strumenti automatici per provare tutte le possibili combinazioni fino a trovare la password corretta.

Safeguards against web-based attacks

Il sito Web in cui si inviano i dati finanziari deve essere progettato in modo da disporre di protezioni contro i comuni attacchi basati sul Web come XSS, attacchi di iniezione e attacchi di fissazione. A tale riguardo, le salvaguardie sarebbero incentrate sulla corretta convalida dell'input dell'utente.

    
risposta data 05.02.2017 - 18:28
fonte

Leggi altre domande sui tag

Rimane comunque il permesso di navigare al 100% in modo anonimo su Internet utilizzando un computer? [duplicare] Il datore di lavoro può vedere il contenuto ssl su wifi [duplicato]