Seguridad de la tabla de códigos "super pin" compartida en meineschufa.de

Navega tus respuestas
2

El servicio alemán de informes de crédito "Schufa" utiliza un llamado "SuperPIN" para permitir a los usuarios restablecer su contraseña. Este super pin es una permutación de 30 letras mayúsculas y minúsculas y dígitos y se envía por correo al usuario en el momento del registro.

Para restablecer la contraseña, el sistema selecciona dos posiciones y solicita los caracteres en esas posiciones.

Me pregunto qué tan seguro es este sistema contra los ataques al servidor. El superpin no se puede almacenar con sal y hash porque el servidor necesita acceso a cada carácter individual. El hash y el salado del personaje en cada posición (o en todas las 870 combinaciones en pares) tampoco resistirán un ataque de fuerza bruta contra el hash.

A partir de estos hechos, no puedo obtener una ventaja sobre snail que envía un código de reinicio al usuario. ¿Qué me perdí?

    
pregunta ordnungswidrig 10.10.2014 - 11:46
fuente

1 respuesta

1

Estamos hablando de la base de datos de un banco, y esa no es su base de datos promedio. Es un tipo especial de base de datos, cuando cada paso se audita, cada alteración se registra. Por lo tanto, una pérdida de base de datos es muy, muy poco probable.

Si alguien puede obtener acceso a la base de datos del banco, ¿por qué molestarse con el PIN o la contraseña de cualquier usuario? Pueden ir directamente al dinero.

La razón para enviar un correo postal para el usuario es que el banco casi seguramente sabrá que solo el verdadero propietario de la cuenta tiene los códigos de reinicio. Si alguien más intenta restablecer el PIN utilizando la información descubierta, fallará porque el estafador no tiene los códigos de restablecimiento.

Y a menos que el estafador pueda convencer al propietario de la cuenta para que revele los códigos, solo el propietario puede restablecer el PIN.

    
respondido por el ThoriumBR 10.10.2014 - 15:30
fuente

Lea otras preguntas en las etiquetas

PBKDF2 utilizado para generar una clave de cifrado: secreto compartido de larga data (contraseña) contra el número de iteraciones ¡Dos Attack y otros malwares!