¿Este sitio web bancario es lo suficientemente seguro? No https en la página de inicio de sesión

15

Hoy abrí una cuenta bancaria para invertir mis ahorros. Aquí está el enlace a la página de inicio de sesión: enlace

Noté que no usa el protocolo Https (ni esa página ni la página de destino donde puedes comprar acciones, etc.). Además, su contraseña puede tener una longitud máxima de 10 caracteres y no hay verificación de 2 pasos ...

Esta es la página donde explican su seguridad (es italiano, quizás puedas traducir: enlace ).

Gracias por cualquier entrada.

Es una gran empresa de corredores, por lo que me parece extraño que a ellos no les importe mucho la seguridad (sin embargo no soy un experto).

    
pregunta KingBOB 03.08.2018 - 18:41
fuente

3 respuestas

21
  

no usa el protocolo Https

El sitio web que proporcionó admite HTTPS, pero no HSTS o HTTP a HTTPS redirect. Es por eso que podría ser dirigido a un sitio HTTP no seguro. análisis de SSL Labs .

  

Además, su contraseña puede tener un máximo de 10 caracteres

Curiosamente, esto es común en la banca en línea. He experimentado un banco que definió las siguientes reglas para una contraseña {az-AZ-09} con un límite de caracteres menor o igual a 10.

  

no hay verificación de 2 pasos ...

A pesar de esto se convierte en una norma en seguridad. Algunos aún han configurado su infraestructura con seguridad primitiva, dados los vectores de ataque modernos. 2FA debe ser un debe . La mayoría de los bancos proporcionarán una " clave segura " o el acceso a una contraseña única desde su aplicación de banca móvil.

Mi consejo personal. Evite la banca en línea con este banco y busque una alternativa que pueda satisfacer sus necesidades de seguridad (OpSec) con .

    
respondido por el safesploit 03.08.2018 - 19:08
fuente
10

Suponiendo que es la página de inicio de sesión real:

Sí, esto es muy inseguro según los estándares modernos, y más aún si se trata de transacciones monetarias reales.

Siempre existe la posibilidad de que la página se cargue en HTTP, pero luego se envíe a un servidor protegido por HTTPS. Eso aún sería malo, pero al menos sería "mejor". Sin embargo, confirmé que esto no sucede. Como estoy seguro de que sabe, esto permitiría que cualquier persona en su red local (o en cualquier lugar entre usted y su servidor) lea su nombre de usuario y contraseña.

Tampoco hay protección CSRF en el punto final de inicio de sesión; esto puede introducir muchas otras debilidades de seguridad más sutiles (aunque no tan graves como no cifrar sus credenciales de inicio de sesión).

El mejor de los casos es que la página en la que estás no se supone que sea la página de inicio de sesión principal, pero terminaste ahí por accidente y se olvidaron de eliminarla y dirigir a las personas a la página de inicio de sesión que es realmente segura.

Ejecuté el sitio web describiendo su seguridad a través de google translate. Obviamente, no será perfecto, pero ciertamente ofrece los aspectos más destacados:

  1. Nunca hemos tenido una brecha antes, ¡no hay nada de qué preocuparse!
  2. Tenemos un firewall super seguro
  3. ¡Usamos cifrado SSL!
  4. ¡Puedes cambiar tu contraseña!
  5. Puede denegar el acceso a su cuenta desde todos los dispositivos excepto uno
  6. Puede ver cuándo / dónde se conectó por última vez
  7. Puede recibir un mensaje de texto cada vez que alguien inicie sesión
  8. Incluso si alguien ingresara su dinero estaría seguro porque no permitimos transferencias a ninguna cuenta que usted no haya especificado e indicado en su contrato

No me tomaría muy en serio nada de eso, especialmente en vista de su incapacidad para proporcionar el cifrado SSL en la página de inicio de sesión, que es probablemente la página más importante de todas. Dadas sus prácticas laxas, supongo que tienen agujeros de seguridad en otras partes de su sistema. Que alguien haya tenido una violación o no es algo que nadie sabrá, lo que debería decir es:

  

Si alguna vez hemos tenido una infracción, al menos no lo sabemos. ¡Prometemos que no estamos mintiendo!

Si realmente nunca han tenido una violación, es probable que nadie se haya molestado en intentar atacarlos, y no debido a las buenas prácticas de seguridad. Ni siquiera me tomaría en serio el punto # 8. Se sorprendería de lo que la gente dice que los técnicos de soporte de cuenta hacen, e incluso si un atacante no puede robar su dinero de forma activa, esto no significa que no puedan causarle daños graves si ingresan a su cuenta.

    
respondido por el Conor Mancone 03.08.2018 - 18:56
fuente
8

Quien diseñó el sitio web parece carecer de conocimientos sobre seguridad. Como han señalado otros, do son compatibles con HTTPS, pero al menos debe ser redirigido desde HTTP a HTTPS cuando vaya al sitio de inicio de sesión. Eso fue estándar para los sitios web seguros hace más de 10 años. Es extremadamente trivial implementar esto, ofrece protección real contra ataques reales, y no tenerlo es una bandera roja.

Aún mejor sería soportar HSTS (tampoco es compatible), que es una forma de publicar información sobre cómo funciona el sitio web. Sólo debería estar disponible a través de HTTPS. Este estándar tiene ahora casi 6 años, y está ampliamente implementado. Un banco que no tenga esta simple medida de seguridad es otra bandera roja.

No debería sorprenderte que los sitios web italianos ... no sean realmente los mejores. He pasado mucho tiempo en Italia utilizando sitios web italianos, y muchos son terriblemente malos y se han quedado atrás unos 15 años. Este sitio no es una excepción.

Lamentablemente, los límites de longitud de la contraseña son la norma para muchos bancos. Esto se debe a que gran parte de la industria bancaria está muy por detrás de los tiempos con una enorme cantidad de sistemas heredados aún en su lugar. La falta de autenticación de 2 factores también es relativamente común. Ambas son indicaciones de que la institución no está enfocada en la seguridad, pero es demasiado común que estas sean señales de alerta.

Realicé una prueba de su configuración SSL contra SSL Labs: enlace

En realidad no es terrible (obtienen una B), que no es una bandera roja, pero es otro indicador de no cumplir con los estándares de seguridad.

No recomendaría el uso de esta institución financiera, ya que parecen tener un grave desprecio por las prácticas de seguridad modernas que se remontan a por lo menos 10-15 años. Los problemas visibles a menudo son solo la punta del iceberg.

    
respondido por el Steve Sether 03.08.2018 - 21:45
fuente

Lea otras preguntas en las etiquetas