¿Es mi política de seguridad de contraseña de banco en línea lo suficientemente buena?

Navega tus respuestas
3

Mi banco tiene una política de seguridad de contraseña en línea que me parece 100% incorrecta en todos los niveles. Como es uno de los bancos más grandes de mi país, le doy el beneficio de la duda y considero la posibilidad de que no esté viendo el panorama completo ...

La forma en que accedo al portal en línea es usando mi número de tarjeta de identificación (emitida por mi país) como nombre de usuario y el mismo PIN de mi tarjeta de crédito principal como contraseña. Esto parece incorrecto por varias razones:

  • La contraseña que utilizo para acceder a las funciones bancarias en línea es un PIN de 4 dígitos.
  • No puedo cambiar fácilmente mi contraseña de banca en línea, tengo que ir a un cajero automático y cambiar mi PIN.
  • Si pierdo mi tarjeta de crédito, lo cual es lo suficientemente malo, también se verán comprometidas las funciones de mi banco en línea.
  • A pesar de que algunas de las funciones más "arriesgadas" requieren una llamada "firma digital" adicional que he elegido, esta firma digital debe tener un PIN de 8 dígitos.

¿Esto es lo suficientemente malo como parece (como salir de ese banco lo suficientemente malo)? ¿Podrían estar usando alguna política de seguridad que no pueda ver para mitigar posibles ataques? ¿Son este tipo de malas políticas comunes a las grandes empresas bancarias?

    
pregunta Daniel García Rubio 13.12.2017 - 18:35
fuente

1 respuesta

3

Esto está mal en tantos niveles que ni siquiera sé por dónde empezar ...

  • ¿Cuatro dígitos? ¿Seriamente? ¡Incluso si implementas toda la detección de fuerza bruta en el mundo, alguien podría ingresar fácilmente a una cuenta en el primer intento solo por tener suerte!
  • No se pueden cifrar números de cuatro dígitos de manera significativa. No importa cuán altos sean los factores de costo que establezca para bcrypt, no va a ayudar mucho. Eso significa que todos los PIN deben almacenarse de manera reversible. Si esa base de datos se filtra, no hay nada que proteja su cuenta ...
  • Tener personas que ingresen el PIN a su tarjeta de crédito en una computadora es una idea horrible para comenzar, sin importar para qué se use. Su PIN debe ingresarse a los lectores de tarjetas de crédito, nada más. Enseñar a los clientes a regalarlo en sitios web no es una buena idea.
  • Como usted dice, un PIN de tarjeta de crédito es más difícil de cambiar que una contraseña.
  • Un PIN de 8 dígitos es mejor que uno de 4 dígitos, pero aún no es lo suficientemente bueno. ¿Por qué no permitir que la gente use contraseñas reales? O 2FA?

No, no hay excusas para esto. No hay protecciones inteligentes que puedan hacer esto bien. Considera cambiar a otro banco.

    
respondido por el Anders 13.12.2017 - 19:28
fuente

Lea otras preguntas en las etiquetas

¿Inyección de objetos PHP en ausencia de código fuente? ¿Qué método de cifrado debo usar al conectar varios clientes a un servidor local?