¿Los pines numéricos temporales de seis dígitos son lo suficientemente seguros para las cuentas en línea?

Navega tus respuestas
1

Existe un popular servicio de transferencia de dinero creado por Square, cash.me, que utiliza un sistema de inicio de sesión peculiar:

  1. Ingrese su dirección de correo electrónico o número de teléfono en el sitio web.
  2. Reciba un pin temporal numérico de seis dígitos por correo electrónico o número de teléfono
  3. Introduce el pin en el sitio web
  4. Si el pin es correcto, el usuario ha iniciado sesión

Después de esto, el usuario puede ver el historial de transacciones. Si el usuario conoce el código CCV para la tarjeta de débito guardada, incluso puede enviar dinero a otro usuario (limitado a unos pocos cientos de dólares).

Si bien tienen una limitación de velocidad bastante agresiva, esto parece ser vulnerable a un ataque distribuido. Aunque afirman que cubrirán cargos no autorizados, parece que la información de la cuenta de los usuarios no es muy segura. Para un producto moderno lanzado en 2011, ¿tiene sentido esto, en comparación con un enfoque más tradicional basado en contraseñas?

    
pregunta user128907 27.10.2016 - 20:06
fuente

4 respuestas

3

Depende del vector de ataque

Algunos ejemplos:

Los hackers roban 45 millones de contraseñas . El mecanismo de PIN de seis dígitos es inmune a este tipo de ataque, ya que los PIN se generan sobre la marcha y, presumiblemente, tienen una vida útil corta. No hay nada que robar.

Cómo hackearía tu contraseña débil . El mecanismo de PIN de seis dígitos es inmune a este tipo de ataque, porque el usuario no los elige y no puede deducirse de la información demográfica.

cracking de fuerza bruta . El mecanismo de PIN de seis dígitos no es inmune a este tipo de ataque, pero el pirata informático solo tiene una probabilidad de 1 en 1,000,000 de hacerlo bien. Dependiendo del mecanismo de bloqueo que use, el pirata informático puede tener de 3 a 5 posibilidades, lo que aún ofrece probabilidades muy bajas.

Por otro lado, estás en una posición menos cómoda si

  1. Un hacker roba su contraseña de correo electrónico
  2. Un hacker roba tu teléfono móvil
  3. Un pirata informático puede interceptar su correo electrónico porque no se envió de forma segura
  4. Un hacker es capaz de interceptar tus SMS, de alguna manera ...

Puede haber otros mecanismos de seguridad ocultos

Los procesadores de pagos tienden a tener mecanismos de seguridad adicionales que ni siquiera puedes ver. Por ejemplo, su pago puede terminar pasando por un motor de riesgo y se bloqueará o enviará a una auditoría escalonada si parece ser fraudulenta (es decir, si alguien está enviando muchas transacciones pequeñas a un lugar o si la dirección IP está en Siria). por ejemplo).

¿Quién está en riesgo?

Puede que le resulte más fácil saber que los mecanismos de seguridad en los sitios de los procesadores de pagos no están tanto para protegerlo como para protegerlos a ellos . Ellos son los que tienen que aportar el dinero si alguno de sus fondos es robado. Su responsabilidad personal se limita a $ 50.

    
respondido por el John Wu 28.10.2016 - 01:21
fuente
3

El problema con SMS como factor de autenticación es que hay varios métodos para subvertirlo. En primer lugar, hay una serie de fallas de diseño en la red SS7 que permiten la falsificación y la redirección de mensajes SMS. En segundo lugar, si su teléfono está comprometido (por ejemplo, aplicaciones de malware), entonces se pueden filtrar los mensajes recibidos.

Este documento (http://www.mulliner.org/collin/academic/publications/mulliner_dimva2013). pdf) publicado en 2013 proporciona muchos más detalles sobre los problemas de seguridad con SMS.

Eso sí, Square mantiene una certificación de nivel 1 de PCI-DSS que tiene varios requisitos para proteger los datos de PII y CC. Pero eso no mitiga las vulnerabilidades heredadas en SMS, sin embargo.

    
respondido por el Shackledtodesk 27.10.2016 - 22:49
fuente
2

Si el número de seis dígitos hubiera sido simplemente una contraseña ordinaria, hubiera sido horrible; fácilmente podría forzar esos hashes. Pero ahora es una ficha de tiempo. Entonces, básicamente, lo que tienes es lo que usualmente es el segundo factor como el único factor. ¿Es eso suficiente?

Tienes un millón de diferentes números posibles. Siempre que pueda protegerse de los brutos, obligar a alguien a adivinar un número es muy pequeño. ¿Pero qué tan buena puede ser la protección de la fuerza bruta?

Podrías bloquear fácilmente los intentos de fuerza bruta en una cuenta y desde una IP. Pero un atacante que usa un rango de direcciones IP (por ejemplo, desde una red de bots) que ataca cuentas al azar podría ingresar en algún lugar. Si realiza tres suposiciones por IP desde 1000 IPs por día durante un año, tendría un millón de suposiciones. Las heurísticas más avanzadas probablemente podrían detectar algunos ataques de ese tipo, pero no apostaría mi dinero en poder prevenir todos los ataques de ese tipo.

Entonces, ¿es lo suficientemente seguro? Yo diría que depende de lo que está tratando de proteger. Hackear un perfil de redes sociales de personas aleatorias no es lo suficientemente divertido como para que alguien pueda pasar por todo este problema: ahí quieres hackear una cuenta específica. El pirateo de una cuenta bancaria aleatoria, por otro lado, podría valer la pena ...

    
respondido por el Anders 27.10.2016 - 22:30
fuente
1

Hay 1 millón de posibilidades para formar el pin correcto de 6 dígitos considerando que usan los números del 0 al 9. Por lo tanto, un atacante tiene un 0.000005% de probabilidad de adivinar el pin.

Si el inicio de sesión se realiza por correo o teléfono y el sitio no solicita una contraseña, considérelo como la mitad de una autenticación de dos fábricas. Así que el atacante debería abrir la cuenta de correo electrónico o robar el teléfono.

Digamos que una cuenta en esta página es tan segura como lo es su cuenta de correo electrónico o su teléfono (físicamente).

    
respondido por el Vini7 27.10.2016 - 21:13
fuente

Lea otras preguntas en las etiquetas

Muestras de malware que desencadenan AV pero son inofensivos ¿Mejoro la seguridad agregando todas las contraseñas con una cadena larga fija?