¿Cómo sabe mi banco mi segundo y cuarto caracteres de mi contraseña [duplicar]

3

Veo que el nuevo mecanismo de inicio de sesión utilizado por algunos bancos en el Reino Unido y también utilizado por la autenticación de débito de visa es solicitar tres caracteres aleatorios de su contraseña al iniciar sesión (por ejemplo, segundo, noveno y cuarto), pero esto seguramente significa que La contraseña no está hash, ¿verdad? Tal vez encriptado en el mejor ... Esto es muy malo, ¿verdad? ¿O hay una manera de codificar una contraseña y aún calcular estos caracteres? No puedo pensar en nada ...

    
pregunta spauny 08.03.2014 - 22:58
fuente

2 respuestas

4

Esto se debe a los tiempos en que la gente aún usaba la banca telefónica y se requería que un operador le pidiera una contraseña. Para evitar que el operador sepa la contraseña completa, solo recibiría tres caracteres de la contraseña y sus posiciones.

En realidad no es necesariamente algo malo si se implementa correctamente. Usted es correcto al afirmar que la contraseña no está hash. Este esquema se denomina contraseña enmascarada o parcial . Algunos bancos usan esto y la idea detrás de esto es que, en caso de que un cliente tenga un keylogger instalado en su sistema, nunca obtendrá la contraseña completa. Evita que el usuario también lo almacene en una herramienta de autocompletar o autocompletar.

La mayoría de las implementaciones en realidad transmiten las contraseñas a otro servicio que se ejecuta en el backend (lo que significa que no se habla directamente con la base de datos sino con un servicio web independiente).

Personalmente, no soy un fanático de estos esquemas si no se implementan junto con un segundo factor de autenticación. Fallan completamente en abordar la mayoría de los otros tipos de malware que los keyloggers, así como la mayoría de los ataques de ingeniería social.

    
respondido por el Lucas Kauffman 08.03.2014 - 23:11
fuente
1

Por lo que he visto, generalmente piden su nombre de usuario (o ID de cuenta) y contraseña, luego tres caracteres de una segunda frase de contraseña. Esto ayuda a prevenir una gran mayoría de registradores de teclas y capturadores de formularios no dirigidos, ya que la captura de un inicio de sesión probablemente no le proporcionará suficiente información para iniciar sesión por segunda vez.

En términos de seguridad, hay algunas maneras en que esto puede funcionar. El método común más seguro es un Módulo de seguridad de hardware (HSM), que es esencialmente un dispositivo de caja negra que permite realizar operaciones limitadas en los datos que contiene, con medidas de seguridad de software y hardware. La idea es que puede decirle al HSM que establezca la frase de contraseña del usuario, o verificar tres caracteres, pero no puede pedirle que le diga toda la frase de contraseña.

Otra opción es cifrar las contraseñas en una base de datos a la que se puede acceder a través de un servicio web interno que emula la funcionalidad de escritura / verificación del HSM. Es menos seguro, pero tiene mejores opciones de costo y puede ser más flexible si el banco tiene un equipo de desarrollo interno.

    
respondido por el Polynomial 08.03.2014 - 23:08
fuente

Lea otras preguntas en las etiquetas