Question:
Is a 6 digit numerical password secure enough for online banking?
mika
2016-05-31 18:06:09 UTC
view on stackexchange narkive permalink

Ma banque a récemment procédé à une refonte majeure de son système bancaire client en ligne. La façon dont la sécurité est gérée sur la plate-forme a également été revue. Le mot de passe que je suis en mesure de définir maintenant pour me connecter est forcé à 6 chiffres, numérique .

Cela va très loin contre ce que je considéré comme une politique de mot de passe sécurisé. D'un autre côté, je fais confiance à ma banque pour savoir ce qu'elle fait.

Pouvez-vous m'aider à comprendre à quel point cette politique est bonne?

  • Par rapport aux pratiques courantes dans le secteur.
  • D'un point de vue plus général de la sécurité informatique.
  • En tant que client: dans quelle mesure dois-je craindre que mon compte soit facile à compromettre?

Remarques:

  • L'utilisateur est le numéro de carte d'identité, qui est presque des données publiques.
  • Une personne qui accède à mon compte n'est toujours pas en mesure d'effectuer un paiement avant qu'il ne passe par un autre mécanisme de sécurité (que nous supposerons être bon).
Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/40740/discussion-on-question-by-mika-is-a-6-digit-numerical-password-secure-enough-pour).
beaucoup de banques utilisent une broche à 4 chiffres
@LưuVĩnhPhúc Mais ce code PIN n'est généralement utile que si vous avez la carte avec laquelle il va, donc ce n'est pas vraiment une situation comparable.
Je ne comprends pas pourquoi les institutions financières ont généralement les pires exigences (les moins sécurisées) en matière de mots de passe.Limiter la longueur de votre mot de passe, vous obliger à n'utiliser que des chiffres, etc.
Je ne suis même pas préoccupé par la durée de ce mot de passe, mais plus par le fait * qu'il n'y a qu'un mot de passe *.En Suisse, toutes les banques avec lesquelles j'ai traité avaient mis en place une forme forte de 2FA ... Je pensais que c'était une norme de l'industrie ...
Treize réponses:
#1
+68
perfectionist
2016-05-31 19:36:54 UTC
view on stackexchange narkive permalink

Un mot de passe numérique à 6 chiffres ne fait pas grand-chose.

Pourquoi 6 chiffres?

Troy Hunt a un excellent blog sur l'obligation de créer mots de passe faibles où il parle de diverses mauvaises pratiques, y compris le forçage de mots de passe numériques courts et avance l'excuse souvent utilisée que

«Nous voulons permettre aux gens d'utiliser le même mot de passe sur le clavier du téléphone»

La seule raison valable pour exiger un mot de passe uniquement numérique est que la seule entrée disponible pour un utilisateur est numérique (par exemple avec les guichets automatiques); (De même, la seule raison valable d'exiger un mot de passe lisible par un humain est qu'un humain le lira - ce qui serait un très mauvais signe s'il était utilisé non seulement pour les services bancaires par téléphone, mais aussi pour le site Web) .

Mais si c'est la raison, pourquoi diable vous forceraient-ils à utiliser le même code d'accès non sécurisé en ligne (ou sur mobile), alors que vous avez accès à un clavier qwerty complet?

Est-il facile de forcer brutalement le chemin?

Il existe 10 6 mots de passe possibles composés de 6 chiffres.

Pour un attaquant non qualifié, obtenir dans votre compte n'est pas du tout un problème s'ils ont votre nom d'utilisateur et des tentatives illimitées. Vous devez supposer qu'ils ont votre nom d'utilisateur. Les noms d'utilisateur ne sont pas des secrets.

Supposons peut-être que la banque a pensé à cela et verrouille chaque compte après 3 mauvais essais, ou peut-être lance une option de limitation du robot comme un captcha pour essayez à nouveau après cela. Ensuite, l'attaquant a toujours une chance de 3/1000000 d'accéder à un compte aléatoire dans cette fenêtre.

Cela signifie que s'il attaque 1000000 comptes, il peut s'attendre à entrer dans 3. et faire 3000000 requêtes ne le ferait pas Cela prend beaucoup de temps.

Comparez cela au nombre de mots de passe avec 6 caractères alphanumériques (selon la plupart des normes de sécurité, beaucoup trop courts et pas assez complexes).

Il existe 62 6 = 56800235584 mots de passe alphanumériques à 6 caractères possibles. C'est encore trop faible mais c'est déjà 56800 fois plus fort!

Stocké en toute sécurité?

Inutile de dire que si la base de données utilisateur a été violée, 10 6 les mots de passe possibles ont une entropie ridiculement basse, et quel que soit le système de hachage et de salage utilisé, ils ne peuvent pas garder votre mot de passe sécurisé.

Le plan de votre banque en cas de violation de base de données est vraisemblablement se retourner et pleurer. Peut-être pensent-ils que le résultat est si mauvais qu'ils ne vont tout simplement pas le planifier.

En supposant que l'autre méthode d'authentification est sécurisée, dois-je m'inquiéter?

Un attaquant voyant vos finances l'histoire est un très gros problème; vous devriez vous inquiéter même si l'autre méthode d'authentification bloquant les transferts est sécurisée. Et vous ne devriez pas vous attendre à ce que l'autre méthode soit sécurisée.

Combien d'autres informations sont divulguées à votre sujet sans la deuxième méthode d'authentification? Votre nom, adresse, email, peut-être?

Celles-ci sont plus que suffisantes pour commencer à faire des recherches de fond sur vous, pour obtenir des informations supplémentaires - cela pourrait être des indices sur votre autre mot de passe, ou de bonnes informations solides sur la façon de vous hameçonner. Ils peuvent essayer de vous appeler, utiliser les informations qu'ils ont sur vous jusqu'à présent pour gagner votre confiance, se faire passer pour la banque et vous inciter à révéler d'autres secrets sur vous-même sous une ruse dont vous avez besoin pour vous authentifier en répondant aux derniers. questions dont ils ont besoin pour accéder à votre compte.

Autre exemple, si la deuxième méthode d'authentification est un mot de passe fort , mais que vous (et pour la plupart des clients, le "vous" n'est pas un expert en technologie), mais le client a jamais été inclus dans une violation de base de données pour un autre site Web où ils ont utilisé le même nom d'utilisateur / e-mail et mot de passe, puis la partie est terminée. - Cette logique s'applique à tout système basé sur un nom d'utilisateur / mot de passe, mais est particulièrement pertinente dans ce cas car l'attaquant est capable de découvrir d'autres informations vous concernant exposées par la première méthode d'authentification non sécurisée, et parce que le 2ème mot de passe est désormais le seul barrière qui les empêche de prendre votre argent - c'est l'une des raisons pour lesquelles la norme du secteur est d'exiger une authentification à deux facteurs sur les sites Web bancaires avant de montrer quoi que ce soit à l'utilisateur.

Quant à normes de l'industrie; ma banque a un mot de passe de longueur maximale avec la possibilité de prendre des caractères spéciaux, puis de le suivre avec un deuxième code qui ne peut être saisi qu'en sélectionnant quelques lettres dans une série de listes déroulantes (de sorte que le le deuxième mot de passe entier n'est pas utilisé en une seule tentative).

Je préférerais que ma banque utilise un deuxième facteur d'authentification hors bande; comme un code envoyé sur mon téléphone.

Avertissement - pas un expert en sécurité.Juste un développeur régulier qui lit ** beaucoup ** sur la sécurité.La plupart de mes opinions ici sont soutenues par le blog de Troy Hunt.
sur le stockage s'il s'agit d'une banque, il est très probable qu'ils utilisent un HSM pour le stockage des mots de passe.À moins d'avoir commis des erreurs odieuses en le gérant, compromettre le mot de passe crypté (oui crypté non haché) ne vous aiderait pas beaucoup, de sorte qu'une partie de votre réponse n'est probablement pas correcte (ou du moins vous manquez d'informations suffisantes pour atteindre leconclusion à laquelle vous êtes parvenu)
Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/40617/discussion-on-answer-by-perfectionist-is-a-6-digit-numerical-password-secure-eno).
> Le plan de votre banque en cas de violation de base de données est vraisemblablement de se retourner et de pleurer.Peut-être pensent-ils que le résultat est si mauvais qu'ils ne vont tout simplement pas le planifier.** La finance (et les banques) sont une question de gestion des risques. ** La banque est un secteur fortement réglementé (au niveau international, Basilea, SOX, lois et réglementations nationales)Toute banque avec une gestion des risques enfantine telle que «se retourner et pleurer» ne serait même pas autorisée à opérer, encore moins à survivre à tout type d'audit (et elle souffre tout le temps de l'audit).
@Mindwin C'est un bon confort de penser à avoir, mais une fois que vous commencez à travailler avec n'importe quel système bancaire, tous les paris sont ouverts.L'une des plus grandes banques du Brésil dispose d'un navigateur sandbox virtualisé super puissant pour permettre aux clients d'accéder à leur compte.Les partenaires de cette banque reçoivent quotidiennement une copie partielle de la base de données dans des fichiers texte.Par email.J'ai dû une fois faire un travail pour eux en tant que développeur, et après le fait, j'ai silencieusement déplacé mon compte ailleurs.
@ThalesPereira votre commentaire est malveillant.Tout d'abord, ** manque d'éthique ** car vous ne devez pas faire de xx vos clients.Vous ne dites pas qui est votre client, mais n'importe quel pirate informatique de 10 ans peut le découvrir (à partir de ce que vous avez dit ci-dessus, je peux le limiter à deux ou trois entreprises).Deuxièmement, les bases de données bancaires ont plusieurs niveaux d'habilitation de sécurité.Quelles dabasases sont envoyées par e-mail?Sont-ils publics ou semi-publics?La pièce jointe est-elle sécurisée?Sans connaître les circonstances, votre commentaire devient une campagne de dénigrement.Un lecteur peut avoir la fausse impression que tout le système bancaire d'un pays du G20 est de la merde.
@Mindwin Honnêtement, je pense que vous voyez beaucoup plus sur mon commentaire que cela ne vaut la peine.Mon pays compte plus de 120 énormes banques, donc mon commentaire n'est pas si spécifique, de toute façon.Toujours pas.Les pièces jointes ne sont pas sécurisées.Ce ne sont que des fichiers texte.C'était honteux pour moi de travailler avec eux.Quoi qu'il en soit, gardez à l'esprit que je ne dis pas que toutes les banques sont comme ça.
#2
+66
paj28
2016-06-01 02:14:52 UTC
view on stackexchange narkive permalink

Insolite? Oui. Fou? Non. Continuez à lire pour comprendre pourquoi ...

Je pense que votre banque applique une politique de verrouillage rigoureuse. Par exemple, trois tentatives de connexion incorrectes verrouillent le compte pendant 24 heures. Si tel est le cas, un NIP à 6 chiffres n'est pas aussi vulnérable que vous pourriez le penser. Un attaquant qui essaierait trois codes PIN par jour pendant une année entière n'aurait toujours que 0,1% de chances de deviner le code PIN.

La plupart des sites Web (Facebook, Gmail, etc.) utilisent soit des adresses e-mail, soit des utilisateurs -les noms sélectionnés comme nom d'utilisateur, et ceux-ci sont facilement devinables par les attaquants. Ces sites ont tendance à avoir une politique de verrouillage beaucoup plus souple, par exemple, trois verrous de connexion incorrects pour un compte pendant 60 secondes. S'ils avaient une politique de verrouillage plus forte, les pirates pourraient causer toutes sortes de problèmes en excluant des personnes légitimes de leurs comptes. La nécessité de sécuriser les comptes avec une politique de verrouillage assouplie est la raison pour laquelle ils insistent sur des mots de passe forts.

Dans le cas de votre banque, le nom d'utilisateur est un numéro à 16 chiffres - votre numéro de carte. Vous gardez généralement votre numéro de carte privé. Bien sûr, vous l'utilisez pour les transactions par carte (en ligne et hors ligne) et il est dans votre portefeuille en texte clair - mais il est raisonnablement privé. Cela permet à la banque d'avoir une politique de verrouillage plus solide sans exposer les utilisateurs à des attaques par déni de service.

En termes pratiques, cet arrangement est sécurisé. Si votre colocataire trouve votre carte, il ne peut pas accéder à votre compte car il ne connaît pas le code PIN. Si un pirate informatique tente de pirater en masse des milliers de comptes, il ne le peut pas car il ne connaît pas les numéros de carte. La plupart des compromissions de compte se produisent à cause du phishing ou des logiciels malveillants, et un code PIN à 6 chiffres n'est pas plus vulnérable à ces attaques qu'un mot de passe très long et complexe. Je soupçonne que votre banque n'a pas plus de problèmes de sécurité quotidiens que les autres banques qui utilisent des mots de passe normaux.

Vous mentionnez que les transactions nécessitent une authentification multifactorielle. Ainsi, le principal risque d'un code PIN compromis est que quelqu'un puisse consulter vos coordonnées bancaires privées. Ils pourraient voir votre salaire et votre historique d'achats douteux. Quelques personnes ont mentionné qu'un code PIN à 6 chiffres est très vulnérable à une attaque par force brute hors ligne. Donc, si quelqu'un volait la base de données, il pourrait déchiffrer votre hachage et obtenir votre code PIN. Bien que cela soit vrai, cela n'a pas beaucoup d'importance. S'ils déchiffraient votre NIP, ils pourraient se connecter et voir votre historique bancaire, mais pas effectuer de transactions. Mais dans ce scénario, ils peuvent quand même voir votre historique bancaire - ils ont déjà volé la base de données!

Donc, même si cet arrangement n'est pas typique, il semble que ce n'est pas si fou après tout. L'un des avantages que cela peut avoir est que les gens ne réutiliseront pas le même mot de passe sur d'autres sites. Je soupçonne qu'ils l'ont fait pour des raisons de convivialité - les gens se sont plaints de ne pas pouvoir se souvenir des mots de passe longs et complexes dont le site avait besoin auparavant.

Un attaquant ayant accès à une liste de noms d'utilisateurs PEUT s'attendre en moyenne à entrer dans 3 comptes après avoir tenté de déverrouiller 1000000 utilisateurs.Alors que faire si votre compte n'a personnellement que 3/1000000 de chances d'être déverrouillé du premier coup?Vous ne pouvez sûrement pas admettre à quel point il est facile pour un attaquant de simplement déverrouiller des comptes aléatoires?
@perfectionist C'est un argument d'homme de paille.La plupart des banques compétentes ont probablement une méthode de verrouillage IP qui bloque les attaques non distribuées lors d'échecs de connexion consécutifs.Un pirate ayant accès à un millier d'adresses IP et échoue à 10 connexions sur chaque adresse IP, n'a qu'une chance de 1% d'accéder au hasard à un compte.De plus, la réponse indiquait déjà clairement que l'autre facteur (le nom d'utilisateur) n'est pas connu des attaquants potentiels, donc votre scénario est peu probable.
@MarchHo Une chance de 1% dans ces conditions est ** ÉNORME **.Toute personne disposant d'un botnet de taille moyenne (ou ayant accès à un système informatique d'un campus universitaire) est essentiellement assurée de pénétrer dans quelques comptes sur une courte période de temps.Je ne vois pas comment ce n'est pas évident.
Je pense que vous faites valoir un point - la politique de lock-out rigoureuse est la principale différence.La plupart des explications qui détaillent la force du mot de passe basée sur l'entropie supposent que vous avez la possibilité d'essayer plusieurs mots de passe.Dans ce contexte, cela ne peut pas être fait tout de suite ...
Et juste pour clarifier un détail: le nom d'utilisateur est mon numéro de carte d'identité (nationale) personnelle, pas mon numéro de carte de crédit.Cela ne fait cependant pas une grande différence.
@mika Selon la culture qui consiste à garder secret votre numéro de carte d'identité dans votre pays, je dirais que cela pourrait faire une grande différence.Presque tout le monde sait que votre numéro de carte de crédit doit être gardé secret, y a-t-il la même culture autour des numéros de carte d'identité?
@Anders Je ne suis pas au courant que mon numéro de carte d'identité peut apparaître n'importe où sur le Web.Je ne considère cependant pas cela comme un secret.J'ai eu la chance de voir des listes de numéros de carte d'identité d'autres personnes accompagnées de leurs noms dans les résultats des services du secteur public, par exemple.
@perfectionist - Alors, comment quelqu'un pourrait-il obtenir une liste de 1000000 noms d'utilisateur?
@paj28 Violation de données du gouvernement?Violation de données dans une autre organisation qui les stocke également?Regrouper les sources accessibles au public?La question les spécifie comme "données presque publiques".
@paj28 Si la sécurité de votre système dépend du fait que les "données presque publiques" ne sont pas publiques, votre système n'est pas sécurisé.
Les numéros de carte de crédit / numéros d'identification nationaux / noms d'utilisateur / tout ne seront pas stockés de manière irréversible dans les bases de données et pourraient donc être explosés soit par une faiblesse du site Web de la banque, soit par des fuites existantes.Ne présumez pas que ces informations ne peuvent être obtenues.
J'aurais dit exactement le contraire "Insolite? Non. Fou: Oui."
C'est une mauvaise pratique construite sur un mauvais modèle de menace.perfectionniste a une bien meilleure réponse.
@Fernando - Le simple fait de dire «mauvaise pratique» ne veut pas dire grand-chose.Pouvez-vous expliquer pourquoi vous avez cette opinion?
@paj28, veuillez lire la réponse fournie par le perfectionniste.Sa suggestion de lire plus sur le blog de Troy Hunt vous donnerait également plus d'informations. La version courte est qu'elle introduit des risques inutiles et fait des hypothèses incorrectes. Par exemple: "Un attaquant qui a essayé trois codes PIN par jour pendant une année entière n'aurait toujours que 0,1% de chances de deviner le code PIN."c'est un risque substantiel.Moins dans le modèle de menace supposée ciblée, mais très dangereux dans le modèle d'attaque par couverture où plusieurs comptes sont ciblés.
@Fernando - Je l'ai lu avant de poster.Je suis d'accord que ce système présente un risque, mais mon point est qu'il est à faible risque (le perfectionniste implique qu'il est à haut risque).Vous mentionnez une attaque globale, qui repose sur une violation de données pour le numéro d'identification, et ne permet pas la fraude.Bien que je suppose que c'est une menace théorique valide, ce n'est pas quelque chose qui se passe dans la pratique (du moins, lorsque j'ai été dans le secteur bancaire pour la dernière fois) et il n'y a pas de véritable motif pour les fraudeurs de le faire.
Il y a deux entrées ici selon vous (1) le nom d'utilisateur est un nombre à 16 chiffres - votre numéro de carte.(2) l'autre est une broche à 6 chiffres.Les numéros de carte de crédit sont achetés de manière triviale et accessibles en grande quantité en raison de quantités malheureuses d'écrémage de cartes.Cela signifie qu'il existe une quantité raisonnable de (1).6 chiffres est un mot de passe trivialement petit et si nous multiplions le risque d'obtenir (1) et de deviner (2) ensemble, vous avez une chance décente de violation.Vous pouvez faire des calculs pour trouver une estimation du risque, mais cela me semble important.
Si vous voulez une banque qui ignore les meilleures pratiques, allez-y, mais je les éviterai si @mika nous dit qui ils sont: D
#3
+17
Anders
2016-05-31 18:34:53 UTC
view on stackexchange narkive permalink

Réponse originale

C'est une mauvaise, une mauvaise politique. Il n'y a que 10 6 ou un million de numéros à 6 chiffres différents. C'est trop peu.

Il est presque impossible d'empêcher une attaque par force brute hors ligne, quelle que soit la lenteur d'un algorithme de hachage que vous utilisez. Si une tentative prend 1 seconde, vous craquerez un mot de passe en 11 jours. Il peut également être trop peu pour arrêter complètement une attaque par force brute en ligne, si l'attaquant peut utiliser plusieurs adresses IP (par exemple, en contrôlant un botnet) et a de nombreux numéros de carte différents à essayer.

C'est aggravée par le fait que, tout comme avec les mots de passe ordinaires, la plupart des gens ne les choisissent pas au hasard. 123456 est lié à apparaître beaucoup, tout comme les nombres qui représentent des dates. En pratique, la plupart des mots de passe auront beaucoup moins de 6 × log 2 (10) ≈ 20 bits d'entropie.

Je ne vois aucune raison pour laquelle vous ne devriez pas être autorisé à choisir un mot de passe plus fort. Cette pratique envoie le signal qu'ils ne se soucient tout simplement pas de la sécurité. Cela me fait également soupçonner que quelque part dans leur base de données il y a un NUMBER (6) au lieu d'un hash stocké.

Les paiements ne peuvent pas être effectués sans un autre facteur d'authentification est un peu réconfortant, mais pas beaucoup. Un attaquant pourrait toujours voir l'historique de votre compte, quelque chose qui pourrait contenir des informations très sensibles et également être utilisé pour le phishing.

Même si cela ne sera probablement jamais utilisé contre vous, si j'étais à votre place, j'envisagerais de changer à une nouvelle banque. De préférence, une authentification à deux facteurs lors de la connexion.

Autres commentaires

Il y a eu des discussions dans les commentaires et quelques bonnes réponses avec une autre vue sont apparues, alors je voudrais élaborer et répondre à certaines critiques.

Mais les noms d'utilisateur sont secrets!

Selon la question, les numéros de carte d'identité (à ne pas confondre avec les numéros de carte de crédit) sont "presque publics", et OP a précisé dans ses commentaires qu'il en voyait les listes comme des "résultats pour les services du secteur public". En d'autres termes, les noms d'utilisateur ne sont pas secrets . Et ils ne devraient pas avoir à l'être - si la sécurité de votre système repose sur le fait que les noms d'utilisateur sont secrets, vous vous trompez.

La limite de taux par compte et / ou numéro IP sera Prenez soin de cela.

Une attaque par force brute distribuée, par exemple en utilisant un botnet, aurait une chance décente de casser quelques comptes. Disons que vous avez 10 000 ordinateurs et que chaque ordinateur teste 3 mots de passe par jour pendant un mois sur différents comptes. Cela représente environ 10 6 tentatives. Cela vous donnera un compte en moyenne si les mots de passe sont vraiment aléatoires. Dans le monde réel, vous obtiendrez beaucoup, beaucoup plus.

Bien sûr, la banque pourrait théoriquement avoir un système sophistiqué pour détecter et se défendre contre de telles attaques. Peut-être peut-être pas. En tant que client, je n'ai aucun moyen de le savoir, et je ne fais certainement pas confiance à une organisation qui ne peut même pas obtenir le droit de politique de mot de passe pour faire quelque chose de plus avancé.

Une attaque hors ligne n'est pas pertinente . Si les mots de passe sont sortis, les données sensibles qu'ils protègent le sont aussi.

Peut-être, peut-être pas. Il y a beaucoup de vidages de données flottant sur Internet avec des données incomplètes. Le fait de prétendre que les mots de passe seront à jamais collés à l'historique de votre compte fait des suppositions très solides sur la façon dont la violation s'est produite et sur la manière dont les données ont été traitées par la suite.

Le code PIN de votre carte de crédit ne comporte que quatre chiffres Alors qu'est-ce que ça compte de toute façon?

Le code PIN de votre carte de crédit est un facteur faible dans une authentification à deux facteurs. L'autre facteur - la possession de la carte - renforce le système.

Ce mot de passe est un facteur faible, et c'est aussi le seul facteur protégeant vos informations financières.

Conclusion

Pour être clair, je ne dis pas qu'il serait impossible pour une banque de sécuriser ce système par d'autres moyens. Je ne dis pas qu'une attaque réussie sur le compte de quelqu'un est probable, encore moins sur le vôtre en particulier. Ce que je dis, c'est que ce n'est pas "suffisamment sécurisé" pour une banque.

La banque s'est déjà efforcée de mettre en place une authentification à deux facteurs pour les virements financiers. Pourquoi ne pas l'utiliser également pour les connexions?

La banque a (espérons-le) déjà eu la peine de hacher un mot de passe et de le stocker dans une base de données. Pourquoi ne pas simplement supprimer la partie du code qui limite le mot de passe à six chiffres?

Peut-être que la banque stocke les données en texte clair et limite la longueur du mot de passe * pour libérer de l'espace sur son disque dur *.Je sais que c'est ridicule, mais d'autres explications possibles (pure paresse, faux sentiment de sécurité, etc.) sont au moins aussi ridicules, étant donné qu'il s'agit d'un site Web bancaire.
@A.Darwin une autre explication simple est qu'ils veulent que le même mot de passe soit utilisé via le guichet automatique ou un système à entrée contraint similaire.Effrayant, néanmoins.
Il ne sert à rien d'envisager une attaque hors ligne contre une banque car les codes PIN des cartes bancaires peuvent être encore plus courts et le modèle de sécurité suppose implicitement que la base de données stockant ces informations d'identification ne sera pas sauvegardée.Après tout, la banque est responsable de toute perte d'argent à moins qu'elle ne puisse prouver que le client n'a pas fait attention à son mot de passe.Ils auront pondéré cela par rapport au coût lié à l'oubli par le client d'un mot de passe compliqué avant que cette décision ne soit prise.
@billc.cn Si je devais deviner le mot de passe de la page Web et le code PIN de la carte réelle vit dans des systèmes complètement séparés, donc l'un volé n'implique pas que l'autre l'est.
@Anders N'importe quelle banque aurait sans aucun doute dépensé beaucoup d'efforts et d'argent pour concevoir, mettre en œuvre et peut-être certifier le système de stockage des codes PIN.Lorsque la banque en ligne viendra, personne de sensé ne conçoit un système complètement différent.Ils copieraient tout ce qu'ils peuvent et s'assureraient que les deux systèmes sont également sécurisés.Moins serait de la négligence et la banque ne serait pas en mesure de se défendre en cas de violation du système bancaire en ligne.
@billc.cn C'est une hypothèse que je ne suis pas à l'aise de faire, surtout pas pour une organisation qui ne laisse pas les utilisateurs choisir des mots de passe forts.En outre, les exigences de sécurité pour les deux systèmes sont assez différentes.
Les codes PIN pour les cartes ne sont pas aussi risqués, car quelqu'un doit obtenir ma carte ET mon code PIN, donc il est moins difficile d'obtenir mon code PIN que d'obtenir mon nom d'utilisateur et mon mot de passe pour les services bancaires sur Internet.
J'aime ce que vous avez dit sur le fait que «la plupart des gens ne choisissent pas [mots de passe] au hasard».Le fait que les humains choisissent les 6 chiffres ajoute à la faiblesse des mots de passe.La probabilité de deviner le mot de passe correct pour un compte sera probablement supérieure à 1/10 ^ 6 en essayant `000000` ou d'autres mots de passe couramment utilisés.
Les banques identifieront et verront rapidement les activités suspectes.Un pirate informatique n'obtiendrait que quelques tentatives avant que le compte ne soit verrouillé.Une fois verrouillé, il ne sera pas déverrouillé tant que l'utilisateur n'aura pas contracté la banque par téléphone.
@user1751825 C'est tout ce que vous dites à propos de cette banque en particulier.Se défendre contre une attaque distribuée sur plusieurs comptes n'est pas facile.
@Anders L'autre chose à considérer est ce que le pirate informatique peut réellement faire avec un compte bancaire en ligne, une fois qu'il a piraté. La plupart des systèmes bancaires en ligne permettent uniquement que l'argent soit transféré entre les comptes, ou envoyé à des destinataires pré-approuvés.L'ajout de nouveaux destinataires nécessite généralement une authentification à 2 facteurs, à l'aide d'un téléphone mobile.
-1
Un numéro de compte n'est en effet pas un secret, il est indiqué sur chaque chèque que vous rédigez.
#4
+8
duper51
2016-06-01 07:52:42 UTC
view on stackexchange narkive permalink

Opinion contraire: méfiez-vous

Il est fort probable qu'en tant qu'utilisateur, vous n'avez pas été informé des autres mesures de sécurité mises en place par votre banque en amont de votre code PIN. Je sais que comme pour CapitalOne360, qui a un système de broches similaire à 4 à 6 chiffres, j'ai été choqué! Mais après un certain temps d'utilisation du code PIN sur le même ordinateur, j'ai finalement dû me connecter sur une autre machine (IP différente, navigateur différent). Quand j'avais fait cela, il m'avait en fait demandé un mot de passe . Non seulement cela, mais après avoir entré le mot de passe avec succès, il a également demandé mon code PIN en tant que bonus.

Après quelques recherches, j'ai découvert que le navigateur ne demande un mot de passe que lorsque l'utilisateur visite le site Web pour la première fois et reçoit une sorte de cookie d'authentification. Une fois que le compte utilisateur est approuvé sur la combinaison IP / cookie de cette machine, il permet alors une connexion sans mot de passe et uniquement par code PIN. Mais la première fois que l'utilisateur se connecte, il EST obligé de saisir un mot de passe. Vous n'êtes peut-être tout simplement pas au courant de la pratique ( comme je l'étais ).

Je trouve incroyablement improbable qu'une banque qui dispose déjà d'un système de mot de passe fonctionnel le casse complètement pour un 6 chiffres uniquement, code PIN numérique. Les entreprises peuvent peut-être sembler stupides, mais étant donné qu'une authentification à 6 chiffres brise le bon sens, ainsi que les normes PCI, je doute sincèrement que ce soit la seule authentification présente. L'affiche originale peut peut-être apporter un éclairage supplémentaire à ce sujet au cas où je manquerais quelque chose.

C'est assez intéressant.Je vais enquêter plus avant ...
+1;d'autres mesures de sécurité comme la vérification de l'appareil à partir duquel vous vous êtes connecté peuvent le rendre plus sûr, oui.
Cependant, un attaquant déterminé pourrait toujours pénétrer dans votre compte à votre insu.Ils auraient juste besoin de vous regarder entrer votre code PIN, puis de le faire eux-mêmes sur le même réseau que vous étiez une fois que vous êtes parti.Cela semble fastidieux et improbable, mais considérez que la motivation de l'attaquant est le contenu de votre compte bancaire.En supposant que vous ayez au moins 5000 $, un attaquant n'a besoin que de pénétrer dans 9 comptes supplémentaires de la même manière et il dispose d'une somme d'argent confortable pour vivre.Trouver des cibles est aussi simple que de suivre des personnes hors du bâtiment de la banque.
#5
+6
John Wu
2016-06-01 06:59:11 UTC
view on stackexchange narkive permalink

Un mot de passe numérique à 6 chiffres est-il suffisamment sécurisé pour les services bancaires en ligne?

Non, ce n'est pas le cas, pas seulement à cause de la capacité d'un utilisateur malveillant à casser un tel mécanisme d'authentification , mais parce qu'il enfreint les normes de conformité PCI-DSS et les directives FFIEC sur l'authentification. De plus, l'authentification multifacteur est requise par les directives de la FFIEC depuis 2006.

Je suis presque sûr que vous manquez quelque chose dans votre examen de votre site Web, c'est-à-dire peuvent être des facteurs d'authentification supplémentaires qui n'interviennent que dans certaines circonstances, par exemple si vous modifiez votre appareil ou votre adresse IP. Soit cela, soit vous n'écrivez pas réellement sur un véritable site Web de banque en ligne, mais sur un site d'assistance financière tiers (que j'arrêterais probablement d'utiliser si j'étais vous).

Pour clarifier pour les utilisateurs non américains, je voudrais [modifier] votre réponse pour dire la loi américaine au lieu de la loi juste.Juste une petite bête noire de la mienne.
#6
+5
Neil McGuigan
2016-05-31 22:25:19 UTC
view on stackexchange narkive permalink

Je vais adopter une position contraire et dire oui, c'est suffisamment sûr pour une banque.

  1. Les banques ont généralement beaucoup d'argent à récupérer en cas de violation
  2. Les banques ont généralement beaucoup d'influence auprès du gouvernement et peuvent éviter les recours collectifs (je viens du Canada, et nous n'avons que quelques grandes banques)
  3. Les banques ont beaucoup de clients, et moins d'appels d'assistance = plus d'argent dans leurs poches
  4. Les banques fonctionnent généralement sur d'anciens mainframes, qui coûtent cher à mettre à jour
  5. Les banques disposent généralement d'un logiciel de détection de fraude analysant toutes les transactions
  6. ol>

    Donc, ce n'est pas une question de sécurité absolue, c'est une question de savoir si cette politique de mot de passe maximise les profits. Dans la plupart des pays occidentaux, les directeurs de la banque sont légalement tenus de maximiser les bénéfices pour les actionnaires.

    Du point de vue du client:

    Je ne recommande pas d'essayer de forcer votre votre propre mot de passe, mais si vous l'avez fait, vous remarquerez (espérons-le) un verrouillage de compte après 3 à 5 tentatives. Cela réduit l'efficacité des attaques par force brute.

    Avec ma banque, on me pose des questions de sécurité si je me connecte depuis un ordinateur avec lequel je ne me suis pas encore connecté. Ainsi, un pirate informatique, sur un autre ordinateur, devrait deviner le mot de passe et connaître la réponse à la question de sécurité.

    Si vous êtes un consommateur, votre gouvernement, espérons-le, fournira une protection aux consommateurs, ce qui entraînera le remboursement de votre argent en cas de fraude.

Je ne dis pas que vous vous trompez, mais vous pouvez également voir la question du point de vue du client.Est-ce que cela maximise mon utilité attendue d'utiliser une banque qui ne se soucie pas de la confidentialité de mes données financières?
@Anders exactement droit.La question porte spécifiquement sur les implications pour le client.Cette réponse ne répond pas à cela
@Anders: En ce qui concerne ma banque, je ne m'inquiète pas pour la confidentialité de mes données financières, je m'inquiète pour mon argent.
La question de «maximiser le profit pour les actionnaires» est un pur non-sens, surtout pour les banques.Il existe des directives non spécifiques pour agir dans l'intérêt des actionnaires, mais (A) en dehors des États-Unis, cela couvre généralement toutes les parties prenantes, (B) cela est secondaire par rapport au respect des lois, (C) ignore que la continuité des affaires est égalementun intérêt des actionnaires, et surtout, (D) il existe de nombreuses lois spécifiques pour les banques qui exigent spécifiquement que les banques agissent dans l'intérêt de leurs clients.En particulier, l'UE a des lois étendues sur la protection des consommateurs.
#7
+4
Dmitry Grigoryev
2016-05-31 22:20:17 UTC
view on stackexchange narkive permalink

Par rapport aux pratiques courantes du secteur, vos conditions ne sont pas si inhabituelles. Ma banque applique des politiques similaires, avec deux différences notables:

  • le nom d'utilisateur n'est PAS mon numéro de carte. Je l'ai reçu par la poste dans une enveloppe protégée, semblable à celle utilisée pour envoyer mon NIP. Ce n'est pas un vrai secret cependant, il peut être trouvé sur certaines déclarations aussi.

  • mon mot de passe est numérique avec 6 chiffres MINIMUM (jusqu'à 10 chiffres je crois). Mais j'utilise néanmoins un code PIN à 6 chiffres.

Mon compte bancaire en ligne est également verrouillé après 3 tentatives de connexion infructueuses, donc je suis assez sûr qu'il ne deviendra pas brutal -forcé. Je suppose que votre banque a la même politique; vous voudrez peut-être lire votre contrat ou vérifier pour être sûr. L'accès à mon compte ne m'a jamais été refusé, sauf qu'une fois j'ai oublié l'un des chiffres et essayé de le forcer brutalement.

#8
+3
user1751825
2016-06-01 13:47:46 UTC
view on stackexchange narkive permalink

Cela semble être une sécurité faible, mais en réalité un piratage par force brute n'est pas faisable pour les services bancaires en ligne.

Les banques utilisent des systèmes de détection de fraude très robustes et une surveillance très rigoureuse. Le verrouillage de compte nécessite généralement un appel téléphonique pour se réactiver, contrairement à de nombreux autres systèmes en ligne qui utilisent simplement un verrouillage basé sur le temps.

Ils utiliseront également presque certainement des jetons anti-contrefaçon dans le formulaire de connexion, donc vous ne pouvez pas simplement lancer des demandes de poste au point final et vous attendre à ce qu'elles fonctionnent. En réalité, vous seriez limité au piratage de l'automatisation du navigateur, ce qui ralentira considérablement les choses et nécessitera une programmation beaucoup plus complexe à configurer. De nombreux sites de banque en ligne utilisent également des claviers générés aléatoirement, donc votre script d'automatisation devrait être capable de faire l'OCR pour reconnaître les touches sur lesquelles appuyer.

Donc, dans la pratique, la courte longueur de la broche n'est pas tout à fait la même échec de sécurité flagrant que d'autres suggèrent.

La force brute n'est généralement pas la façon dont les comptes en ligne sont compromis de toute façon. Le phishing et l'ingénierie sociale sont les méthodes préférées, et la longueur / complexité des broches n'aidera pas à empêcher cela.

#9
+2
techraf
2016-06-01 10:50:01 UTC
view on stackexchange narkive permalink

Si, comme vous l'avez indiqué dans les notes:

Quelqu'un qui accède à mon compte n'est toujours pas en mesure d'effectuer un paiement avant qu'il ne passe par un autre mécanisme de sécurité (que nous supposerons être bon).

Ensuite, il est probable que la seule chose que le mot de passe à 6 chiffres protège soit le solde et l'historique du compte.

À titre de comparaison: ma banque japonaise m'envoie l'historique de mon compte imprimé , dans un courrier régulier. Ma boîte aux lettres n'est pas protégée et n'importe qui peut récupérer la lettre.

Donc, un mot de passe à 6 chiffres (éventuellement avec une limite de réessai et un délai d'expiration) semble être une amélioration.

Lorsque j'ai besoin de parler à quelqu'un de ma banque (Royaume-Uni) ou de ma société de carte de crédit, on me demande souvent le montant et le bénéficiaire de certaines transactions récentes dans le cadre des mesures de sécurité, ainsi que d'autres informations telles que l'adresse complète et la date.de naissance.Ainsi, l'accès à l'historique des transactions pourrait aider un attaquant à faire une `` élévation de privilèges '' afin qu'il puisse ensuite par exempleeffectuer un virement ou «confirmer» une transaction frauduleuse.(Je dois toujours me connecter au site Web concerné pour rechercher moi-même ces informations, car ma mémoire est sans espoir.)
Pour voler votre courrier, un attaquant doit être physiquement présent dans votre boîte aux lettres.Un attaquant peut tenter d'accéder à distance à votre compte depuis n'importe où sur Terre.
@DavidConrad Et alors?Cela affecte le niveau de fluage perçu, mais n'a aucune influence sur la sécurité.
L'augmentation du nombre d'attaquants potentiels augmente la probabilité d'une attaque.
Et alors?La question était de savoir comment (étant donné les conditions) le mot de passe à 6 chiffres «se compare-t-il aux pratiques courantes»?J'ai répondu en faisant une comparaison avec la pratique établie de ma banque.Votre commentaire y ajoute-t-il quelque chose?Critique-t-il?Ou est-ce simplement non pertinent?
@DavidConrad Une partie de la détection de fraude est basée sur l'emplacement de l'accès à distance.Si j'ai toujours accédé à ma banque depuis l'Australie et que soudainement je fais des transactions depuis la Chine, cela déclenchera des alarmes et mon compte sera presque certainement verrouillé.
Très bien, alors.
#10
+1
FKh
2016-06-01 17:05:52 UTC
view on stackexchange narkive permalink

il n'est pas assez sécurisé d'un point de vue global. Pensez à avoir un système qui essaie de se connecter à 100 000 comptes, en utilisant un seul mot de passe. Pourquoi de nombreuses banques comptent sur lui, c'est au-dessus de moi. Même consulter votre compte (sans possibilité de retirer de l'argent) peut en fait faire du mal (adresse, ballance, ...).

Un autre problème est que même le verrouillage de votre compte peut être une sorte d'ingénierie sociale. Il ne devrait pas être possible de verrouiller le compte de quelqu'un d'autre en tapant 3/5 mots de passe erronés. Il n'est pas beaucoup utilisé en tant que tel, mais peut faire beaucoup de mal ou d'inconvénients. Pensez à quelqu'un qui verrouille le compte d'un autre exprès, puis l'appelle «au nom de la banque» pour des raisons physiques. Ou juste pour l'anoyé (vengeance en ligne, etc.)

#11
+1
coteyr
2016-06-03 17:36:38 UTC
view on stackexchange narkive permalink

Dans l'ensemble, il est peut-être plus sûr.

Quand nous informaticiens parlons de sécurité, nous parlons d'entropie, d'algorithmes de hachage, de tentatives de force brute, etc. Il est facile d'oublier une règle simple et incontournable. Les gens sont stupides! Tout cela passe par la fenêtre lorsqu'un utilisateur écrit son mot de passe, son code PIN et sa question / réponse de sécurité sur un morceau de papier, enroule ce papier autour de sa carte de guichet automatique et le pousse le tout dans leur portefeuille. (Ou placez leur mot de passe sur une note autocollante jaune sous le moniteur.)

Utiliser un mot de passe à 6 chiffres, en conjonction avec une authentification multifacteur, et une politique de verrouillage rigoureuse est probablement beaucoup mieux "dans le grande image ", puis plusieurs mots de passe plus complexes.

Prenons un exemple:

Old Way :

Un utilisateur configure leur compte, doit alors choisir un code PIN de carte. On leur dit d'utiliser un numéro dont ils se souviennent. La plupart des gens choisissent une date ou une combinaison de dates, ou 12 h 34.

L'utilisateur est ensuite invité à définir une "question de sécurité et une réponse" pour le moment où il appelle. Ils choisissent quelque chose comme "Quelle école primaire avez-vous aller en 5e? "

L'utilisateur est alors invité à définir un mot de passe sécurisé sur le site Web, mais déteste ces choses car il ne se souvient jamais vraiment d'un mot de passe sécurisé, alors il définit" sunsname123 @ "et le le caissier l'écrit pour eux et l'utilisateur le met dans son portefeuille.

C'est une pratique assez courante. Les numéros de code PIN peuvent être déterminés en ayant seulement besoin de vérifier un sous-ensemble des nombres qui pourraient être une date valide, dans quelques combinaisons. La question de sécurité est inutile, car elle est de notoriété publique, et le mot de passe répond à toutes les exigences techniques ou à un «mot de passe sécurisé» mais ne l'est pas.

Nouvelle façon :

Un utilisateur configure son compte et est invité à choisir un code PIN à 6 chiffres. Ils en choisissent toujours un en fonction d'une date.

L'utilisateur est alors aidé avec, ou donné, ou dit d'installer un authentificateur multifactoriel (faisons semblant d'avoir un porte-clés pour l'instant).

Maintenant, peu importe la transaction, que ce soit au guichet automatique ou en agence ou par téléphone, vous pouvez demander au personnel de la banque et au client de fournir / recevoir le code PIN et le code MFA.

Dans le monde réel, cela présente probablement moins de risques que les personnes moins enclines à la sécurité appelant une fois par semaine parce qu'ils ont oublié leur mot de passe, fournissant la réponse de notoriété publique à leur question de sécurité, réinitialisant leur mot de passe, l'écrivant ENCORE et le mettant dans leur portefeuille.

#12
+1
Damon
2017-08-10 14:17:57 UTC
view on stackexchange narkive permalink

Presque, mais pas tout à fait

Il est "suffisamment sécurisé" en ce sens qu'à première vue, il est hautement improbable (presque impossible) que quelqu'un accède à votre compte et puisse accéder à des données telles comme par exemple le solde de votre compte, et dans la mesure où il est encore moins probable (en raison de l'authentification à deux facteurs) de pouvoir effectuer une transaction.

Ce n'est pas assez sûr dans la mesure où car il est trivialement possible d'alimenter des numéros de compte aléatoires avec des codes PIN aléatoires (le format exact du numéro de compte, y compris les chiffres de contrôle, est une information publiquement connue, cela limite considérablement l'espace de recherche). Notez à quel point le hasard aléatoire est exactement ce qui est la condition préalable au paradoxe de l'anniversaire, donc la chance est du côté de l'attaquant.

À moins que la banque ne bloque par adresse IP lors du déclenchement du verrouillage (peu probable, mais même ainsi vous pouvez trivialement lancer l'attaque à partir d'un botnet), leur politique de verrouillage forte ne vaut rien contre cette attaque. Vous pouvez tester littéralement dix milliers de combinaisons de compte / code PIN par seconde.

Oui, il est impossible de vous cibler personnellement , et il est toujours assez fastidieux de cibler quelqu'un , mais cibler quelqu'un n'est pratiquement pas impossible, c'est tout à fait faisable sans même pénétrer dans le serveur et voler la base de données du compte ou autre.

Maintenant, si vous envisagez la possibilité que quelqu'un lise le solde de votre compte et vos données personnelles et sache vos revenus comme quelque chose avec lequel vous pouvez vivre (vous n'avez rien à cacher, n'est-ce pas!), c'est néanmoins une chose inquiétante .

Non seulement ils savent maintenant qui vous êtes et où vous vivez (et s'il vaut la peine de cambrioler votre maison ou de kidnapper votre enfant), mais il est également tout à fait possible compte tenu du nom et du prénom du titulaire du compte valide nom ainsi que le numéro de compte à prélèvement automatique vous.
Effectivement, vous pouvez contester la transaction - si vous en prenez connaissance dans les 4 semaines. Mais si cela vous échappe, c'est juste de la malchance pour vous. Dans les deux cas, c'est beaucoup de problèmes.

#13
  0
Simply G.
2016-06-01 14:20:10 UTC
view on stackexchange narkive permalink

Oui, ça va, mais seulement si cela fait partie de l'authentification multi-facteurs * et inclut un système de vérification side-channel sur les actions des utilisateurs **.

Toutes les solutions moins sécurisées ne sont à mon avis pas adéquates dans une banque Internet moderne et ne traite pas les ordinateurs infectés, les MIB, etc.

* Par exemple, vous devez vous porter garant de l'ordinateur que vous utilisez, via votre téléphone mobile.

* * Telles que chaque action de paiement sont envoyées avec un code à votre téléphone mobile qui comprend également des détails sur l'action de paiement que vous acceptez.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...