¿Inusual? Sí. ¿Loco? No. Sigue leyendo para entender por qué ...

Espero que su banco tenga una fuerte política de bloqueo, por ejemplo, tres intentos de inicio de sesión incorrectos bloquean la cuenta durante 24 horas. Si ese es el caso, un PIN de 6 dígitos no es tan vulnerable como podría pensar. Un atacante que probó tres PIN todos los días durante todo un año, aún tendría un 0.1% de probabilidad de adivinar el PIN.

La mayoría de los sitios web (Facebook, Gmail, etc.) utilizan direcciones de correo electrónico o nombres seleccionados por el usuario como nombre de usuario, y los atacantes pueden adivinarlos fácilmente. Tales sitios tienden a tener una política de bloqueo mucho más relajada, por ejemplo, tres inicios de sesión incorrectos se bloquean por cuenta de 60 segundos. Si tuvieran una política de bloqueo más fuerte, los hackers podrían causar todo tipo de problemas al bloquear a las personas legítimas de sus cuentas. La necesidad de mantener las cuentas seguras con una política de bloqueo relajada es la razón por la que insisten en contraseñas seguras.

En el caso de su banco, el nombre de usuario es un número de 16 dígitos: su número de tarjeta. Generalmente mantienes tu número de tarjeta privado. Claro, lo usa para transacciones con tarjeta (en línea y fuera de línea) y está en su billetera en texto sin formato, pero es razonablemente privado. Esto permite que el banco tenga una política de bloqueo más fuerte sin exponer a los usuarios a ataques de denegación de servicio.

En términos prácticos, esta disposición es segura. Si su compañero de casa encuentra su tarjeta, no pueden acceder a su cuenta porque no conocen el PIN. Si algún hacker intenta piratear miles de cuentas, no puede porque no conocen los números de las tarjetas. La mayoría de los compromisos de cuenta se producen debido a phishing o malware, y un PIN de 6 dígitos no es más vulnerable a esos ataques que una contraseña muy larga y compleja. Sospecho que su banco no tiene más problemas de seguridad diarios que otros bancos que usan contraseñas normales.

Usted menciona que las transacciones necesitan autenticación multifactor. Por lo tanto, el principal riesgo de un PIN comprometido es que alguien pueda ver sus datos bancarios privados. Podrían ver tu salario y tu historial de compras poco fiables. Algunas personas han mencionado que un PIN de 6 dígitos es trivialmente vulnerable a un ataque de fuerza bruta sin conexión. Entonces, si alguien robó la base de datos, podría romper su hash y obtener su PIN. Si bien eso es cierto, no importa mucho. Si descifraban su PIN, podrían iniciar sesión y ver su historial bancario, pero no realizar transacciones. Pero en ese escenario, pueden ver su historial bancario de todos modos, ¡ya han robado la base de datos!

Entonces, si bien este arreglo no es típico, parece que no es tan loco después de todo. Un beneficio que puede tener es que las personas no reutilizarán la misma contraseña en otros sitios. Sospecho que han hecho esto por razones de usabilidad: las personas se quejaron de que no podían recordar las contraseñas largas y complejas que el sitio requería anteriormente.

Una contraseña numérica de 6 dígitos no hace mucho.

¿Por qué 6 dígitos?

Troy Hunt tiene un excelente blog sobre ser forzado para crear contraseñas débiles donde habla de varias malas prácticas, como forzar contraseñas numéricas cortas y expone la excusa de uso frecuente que

  

"Queremos permitir que las personas utilicen la misma contraseña en el teclado del teléfono"

La única razón válida para requerir una contraseña solo numérica es que la única entrada disponible para un usuario es numérica (por ejemplo, con cajeros automáticos); (de manera similar, la única razón válida para requerir una contraseña legible es que un humano la lea, lo que sería una mala señal si se usara no solo para banca telefónica, sino también para el sitio web) .

Pero si ese es el motivo, ¿por qué en el mundo lo obligarían a usar el mismo código de acceso inseguro en línea (o en dispositivos móviles) cuando tiene acceso a un teclado QWERTY completo?

¿Qué tan fácil es la fuerza bruta para entrar?

Hay 10 ⁶ posibles contraseñas con 6 dígitos.

Para un atacante no cualificado, ingresar a su cuenta no supone ningún problema si tiene su nombre de usuario e intentos ilimitados. Debes asumir que tienen tu nombre de usuario. Los nombres de usuario no son secretos.

Tal vez supongamos que el banco lo ha pensado, y bloquea cada cuenta después de 3 intentos incorrectos, o tal vez inicia una opción de limitación de robot como un captcha para volver a intentarlo después de eso. Entonces, el atacante aún tiene una probabilidad de 3/1000000 de ingresar a una cuenta aleatoria dentro de esa ventana.

Eso significa que si atacan 1000000 cuentas, pueden esperar entrar en 3. Y hacer 3000000 solicitudes no tomaría mucho tiempo.

Compare eso con la cantidad de contraseñas que hay con 6 caracteres alfanuméricos (según la mayoría de los estándares de seguridad, demasiado cortos y no lo suficientemente complejos).

Hay 62 ⁶ = 56800235584 contraseñas alfnuméricas de 6 caracteres posibles. ¡Eso es todavía demasiado débil pero ya es 56800 veces más fuerte!

¿Almacenado de forma segura?

No hace falta decir que, si la base de datos del usuario fue violada, 10 ⁶ las posibles contraseñas son una entropía ridículamente baja, y cualquier sistema de hashing y salado que hayan usado, no pueden mantener su contraseña segura.

El plan de su banco en el caso de una violación de la base de datos es presumiblemente volverse y llorar. Tal vez piensan que el resultado es tan malo que simplemente no lo van a planificar.

Suponiendo que el otro método de autenticación sea seguro, ¿debería preocuparme?

Un atacante que vea tu historial financiero es un problema realmente grande; Debería preocuparse incluso si el otro método de autenticación que bloquea las transferencias es seguro. Y no debes esperar que el otro método sea seguro.

¿Cuánta otra información se filtra sobre usted sin el segundo método de autenticación? Su nombre, dirección, correo electrónico, tal vez?

Estos son más que suficientes para comenzar a realizar una investigación de antecedentes sobre usted, para obtener información adicional. Estas podrían ser pistas sobre su otra contraseña o una buena información sólida sobre cómo falsificarlo. Podrían intentar llamarte, usar la información que tienen sobre ti hasta ahora para ganarte tu confianza, simular ser el banco y engañarte para que reveles otros secretos sobre ti bajo un truco que necesitas autenticarles respondiendo a los últimos pocos las preguntas que necesitan para ingresar a su cuenta.

Como otro ejemplo, si el segundo método de autenticación es una contraseña fuerte , pero usted (y para la mayoría de los clientes el "usted" no es experto en tecnología) pero el cliente tiene alguna vez se incluyó en una violación de la base de datos de otro sitio web en el que utilizaron el mismo nombre de usuario / correo electrónico y contraseña, y luego se terminó el juego - Esta lógica se aplica a cualquier sistema basado en nombre de usuario / contraseña, pero es particularmente relevante en este caso porque el atacante puede descubrir otra información sobre usted expuesta por el primer método de autenticación insegura, y porque la segunda contraseña es ahora solo la barrera para que ellos se lleven su dinero: esta es una de las razones por las que el estándar de la industria es requerir una autenticación de 2 factores en los sitios web bancarios antes que muestren al usuario algo.

En cuanto a los estándares de la industria; mi banco no tiene una contraseña de longitud máxima con la capacidad de tomar caracteres especiales, y luego seguir con un segundo código de acceso que solo se puede ingresar seleccionando algunas letras de una serie de menús desplegables (por lo el segundo código de acceso completo no se usa en un solo intento).

Lo preferiría si mi banco usara un segundo factor de autenticación fuera de banda; como un código que se envía a mi teléfono.

Respuesta original

Esta es una política mala, mala. Solo hay 10 ⁶ o un millón de números diferentes de 6 dígitos. Eso es muy poco.

Es casi imposible prevenir un ataque de fuerza bruta sin conexión, sin importar qué tan lento sea el algoritmo de hash que uses. Si un intento demora 1 segundo, descifrará una contraseña en 11 días. También puede ser demasiado poco para detener por completo un ataque inteligente de fuerza bruta en línea, si el atacante puede usar múltiples IP (por ejemplo, para controlar una botnet) y tiene muchos números de tarjeta diferentes para probar.

Esto se agrava por el hecho de que, al igual que con las contraseñas comunes, la mayoría de las personas no las selecciona al azar . 123456 está obligado a aparecer mucho, y también lo son los números que representan fechas. En la práctica, la mayoría de las contraseñas tendrán menos de 6 × log ₂ (10) ≈ 20 bits de entropía.

No veo ninguna razón por la que no se le permita elegir una contraseña más segura. Esta práctica envía la señal de que simplemente no les importa la seguridad. También me hace sospechar que en algún lugar de su base de datos hay un NUMBER(6) en lugar de un hash almacenado.

Que los pagos no se pueden hacer sin otro factor de autenticación es un poco reconfortante, pero no mucho. Un atacante aún podría ver el historial de su cuenta, algo que podría contener información muy confidencial y también ser utilizado para el phishing.

Incluso si esto probablemente nunca se usará contra ti, si yo fuera tú, consideraría cambiarme a un nuevo banco. Preferiblemente uno que requiera autenticación de dos factores al iniciar sesión.

Otros comentarios

Ha habido cierta discusión en los comentarios y han aparecido algunas buenas respuestas con otra vista, por lo que me gustaría elaborar y responder a algunas críticas.

¡Pero los nombres de usuario son secretos!

Según la pregunta, los números de la tarjeta de identificación (que no deben confundirse con los números de las tarjetas de crédito) son "casi públicos", y OP ha aclarado en los comentarios que ha visto las listas de ellos como "resultados para los servicios del sector público". En otras palabras, los nombres de usuario no son secretos . Y no deberían tener que serlo. Si la seguridad de su sistema se basa en el hecho de que los nombres de usuario son secretos, lo está haciendo mal.

El límite de tasa por cuenta y / o número de IP se hará cargo de esto.

Un ataque de fuerza bruta distribuida, por ejemplo, usando una red de bots, tendría una buena oportunidad de romper algunas cuentas. Digamos que tiene 10 000 computadoras y cada computadora prueba 3 contraseñas por día durante un mes en diferentes cuentas. Eso es alrededor de 10 intentos ⁶ . Eso le dará una cuenta en promedio si las contraseñas son verdaderamente aleatorias. En el mundo real, obtendrás mucho, mucho más.

Claro, el banco podría en teoría tener algún sistema sofisticado para detectar y defenderse contra ataques como este. Tal vez tal vez no. Como cliente, no tengo forma de saberlo, y ciertamente no confío en una organización que ni siquiera puede obtener la contraseña correcta para hacer algo más avanzado.

Un ataque sin conexión es irrelevante. Si las contraseñas están fuera, también lo están los datos confidenciales que están protegiendo.

Tal vez, tal vez no. Hay un montón de volcados de datos flotando en Internet con datos incompletos. Afirmar que las contraseñas se pegarán para siempre en el historial de su cuenta hace algunos supuestos muy sólidos sobre cómo ocurrió la violación y cómo se manejaron los datos posteriormente.

El PIN de su tarjeta de crédito solo tiene cuatro dígitos, así que, ¿qué importa?

El PIN de su tarjeta de crédito es un factor débil en una autenticación de dos factores. El otro factor, la posesión de la tarjeta, fortalece el sistema.

Esta contraseña es un factor débil y también es el único factor que protege su información financiera.

Conclusión

Para ser claros, no estoy diciendo que sería imposible para un banco asegurar este sistema con otros medios. No estoy diciendo que un ataque exitoso en la cuenta de alguien sea probable, y mucho menos en el suyo específicamente. Lo que estoy diciendo es que esto no es "lo suficientemente seguro" para un banco.

El banco ya pasó por el problema de configurar la autenticación de dos factores para las transferencias financieras. ¿Por qué no usarlo también para los inicios de sesión?

El banco (con suerte) ya ha pasado por el problema de copiar una contraseña y almacenarla en una base de datos. ¿Por qué no eliminar simplemente la parte del código que limita la contraseña a seis dígitos?

Opinión contraria: cuidado

Es muy probable que usted, como usuario, no haya tenido conocimiento de otras medidas de seguridad implementadas por su banco frente a su PIN. Sé que en cuanto a CapitalOne360, que tiene un sistema de pin de 4 a 6 dígitos similar, ¡me sorprendió! Pero después de un tiempo de usar el PIN en la misma computadora, finalmente tuve que iniciar sesión en una máquina alternativa (IP diferente, navegador diferente). Cuando hice esto, en realidad me pidió una contraseña . No solo esto, sino que luego de haber ingresado con éxito la contraseña, también solicitó mi PIN como bonificación.

Después de algunas investigaciones, descubrí que el navegador solo solicita una contraseña cuando el usuario visita el sitio web por primera vez y recibe algún tipo de cookie de autenticación. Una vez que la cuenta de usuario es de confianza en la combinación de IP / Cookie de esa máquina, permite el inicio de sesión sin contraseña, solo con PIN. Pero la primera vez que el usuario inicia sesión, SON necesarios para ingresar una contraseña. Es posible que simplemente no te des cuenta de la práctica ( como era )

Me parece increíblemente improbable que un banco que ya tenga un sistema de contraseña funcional funcione por completo para un número PIN numérico único de 6 dígitos. Las compañías tal vez parezcan estúpidas, pero considerando que una autenticación de 6 dígitos rompe el sentido común, así como los estándares PCI, sinceramente dudo que esta sea la única autenticación presente. Quizás el póster original pueda arrojar luz adicional sobre esto en caso de que me haya perdido algo.

  

¿Una contraseña numérica de 6 dígitos es lo suficientemente segura para la banca en línea?

No, no lo es, no solo por la capacidad de un usuario malintencionado de romper dicho mecanismo de autenticación, sino porque viola PCI -DSS estándares de cumplimiento y las guía de FFIEC sobre autenticación. Además, se ha requerido la autenticación multifactor por la guía de FFIEC desde 2006 .

Estoy bastante seguro de que le falta algo en su examen de su sitio web, es decir, puede haber factores adicionales de autenticación que solo se activan en ciertas circunstancias, por ejemplo. Si cambia su dispositivo o dirección IP. O eso, o no estás escribiendo en realidad sobre un sitio web de banca en línea real, sino sobre un sitio de asistencia financiera de terceros (que probablemente dejaría de usar si fuera tú).

Tomaré una postura contraria y diré que sí, es lo suficientemente seguro para un banco.

1. Los bancos generalmente tienen mucho dinero para recuperarse de las infracciones
2. Los bancos generalmente tienen mucha influencia en el gobierno y pueden evitar juicios colectivos (soy de Canadá y solo tenemos unos pocos bancos grandes)
3. Los bancos tienen muchos clientes y menos llamadas de soporte = más dinero en sus bolsillos
4. Los bancos generalmente se ejecutan en mainframes antiguos, que son costosos de actualizar
5. Los bancos generalmente tienen un software de detección de fraudes que analiza todas las transacciones

Entonces, no es una cuestión de seguridad absoluta, es una cuestión de si esta política de contraseña maximiza los beneficios. En la mayoría de los países occidentales, los directores del banco están legalmente obligados a maximizar los beneficios para los accionistas.

Desde la perspectiva del cliente:

No recomiendo tratar de forzar tu propia contraseña con fuerza bruta, pero si lo hiciste, (con suerte) notarás un bloqueo de cuenta después de 3-5 intentos. Esto reduce la efectividad de los ataques de fuerza bruta.

Con mi banco, me hacen preguntas de seguridad si inicio sesión desde una computadora con la que no he iniciado sesión antes. Por lo tanto, un pirata informático, en una computadora diferente, tendría que adivinar la contraseña y conocer la respuesta a la pregunta de seguridad.

Si usted es un consumidor, es de esperar que su gobierno ofrezca protección al consumidor que resulte en la devolución de su dinero en caso de fraude.

En comparación con las prácticas comunes en el sector, sus condiciones no son tan inusuales. Mi banco tiene políticas similares, con dos diferencias notables:

• el nombre de usuario NO es mi número de tarjeta. Lo he recibido por correo en un sobre protegido, similar al que usaron para enviar mi PIN. Aunque no es un verdadero secreto, también se puede encontrar en algunas de las declaraciones.

• mi contraseña es numérica con 6 dígitos MÍNIMO (creo que hasta 10 dígitos). Pero uso un pin de 6 dígitos sin embargo.

Mi cuenta de banca en línea también se bloquea después de 3 intentos de inicio de sesión fallidos, por lo que estoy bastante seguro de que no será forzado. Supongo que su banco tiene la misma política; Es posible que desee leer su contrato o verificarlo para estar seguro. Nunca se me ha negado el acceso a mi cuenta, excepto que una vez olvidé uno de los dígitos y traté de forzarlo.

Parece una seguridad débil, pero en realidad no es factible un ataque de fuerza bruta para la banca en línea.

Los bancos utilizan sistemas de detección de fraude muy robustos y un monitoreo muy riguroso. El bloqueo de la cuenta generalmente requiere una llamada telefónica para volver a activarse, a diferencia de muchos otros sistemas en línea que simplemente usan un bloqueo basado en el tiempo.

Es muy probable que también usen tokens anti-falsificación en el formulario de inicio de sesión, por lo que no puede simplemente disparar las solicitudes de publicación en el punto final y esperar que funcionen. Siendo realistas, estarías limitado a la piratería de automatización del navegador, lo que ralentizará considerablemente las cosas y requerirá una programación mucho más compleja para la configuración. Muchos sitios de banca en línea también usan teclados generados aleatoriamente, por lo que su secuencia de comandos de automatización debería ser capaz de hacer OCR para reconocer qué teclas presionar.

Por lo tanto, en la práctica, la corta longitud del pin no es el fallo de seguridad evidente que otros sugieren.

Por lo general, la fuerza bruta no es la forma en que se comprometen las cuentas en línea. El phishing y la ingeniería social son los métodos preferidos, y la longitud / complejidad del pin no ayudará a evitar esto.

Si como señalaste en las notas:

  

Alguien que ingresa a mi cuenta todavía no puede realizar un pago antes de que pase por otro mecanismo de seguridad (que asumiremos que es bueno).

Entonces es probable que lo único que proteja la contraseña de 6 dígitos sea el saldo y el historial de la cuenta.

A modo de comparación: mi banco japonés me envía el historial de mi cuenta impreso, en un correo regular. Mi casilla de correo no está protegida y cualquiera puede recuperar la carta.

Entonces, una contraseña de 6 dígitos (posiblemente con un límite de reintento y un tiempo de espera) parece ser una mejora.

no es lo suficientemente seguro desde el punto de vista global. Piense que el sistema intenta iniciar sesión en 100000 cuentas con un número de contraseña. Por qué muchos bancos confían en ello, está por encima de mi comprensión. Incluso ver su cuenta (sin la capacidad de retirar dinero) puede causar daño (dirección, balance, ...).

Otro problema es que incluso el bloqueo de su cuenta puede ser un tipo de ingeniería social. No debería ser posible bloquear la cuenta de otra persona escribiendo 3/5 contraseñas incorrectas. No se usa mucho como tal, pero puede hacer mucho daño o inconveniente. Piense en alguien que está bloqueando la cuenta de otra persona a propósito, y luego llamándolo "en nombre del banco" por razones físicas. O simplemente para molestarlo (venganza en línea, etc.)

En el panorama general, en realidad puede ser más seguro.

Cuando los informáticos hablan de seguridad, hablamos de entropía, algoritmos hash, intentos de fuerza bruta y similares. Es fácil olvidar una regla simple e inevitable. ¡La gente es estúpida! Todo eso sale por la ventana cuando un usuario escribe su contraseña, número de PIN y pregunta / respuesta de seguridad en un pedazo de papel, envuelve ese papel alrededor de su tarjeta de cajero automático y empuja Todo el asunto en su billetera. (O coloca su contraseña en una nota adhesiva amarilla debajo del monitor.)

El uso de una contraseña única de 6 dígitos, junto con la autenticación de múltiples factores, y una política de bloqueo fuerte es probablemente mucho mejor "en general", y luego varias contraseñas más complejas.

Tomemos un ejemplo:

Old Way :

Un usuario configura su cuenta, luego tiene que elegir un pin de tarjeta. Se les dice que usen un número que puedan recordar. La mayoría de las personas eligen una fecha o una combinación de fechas, o 1234.

Se le pide al usuario que establezca una "pregunta y respuesta de seguridad" para cuando llame. Eligen algo como "¿A qué escuela primaria asististe en quinto grado?"

Luego se le pide al usuario que establezca una contraseña segura en el sitio web, pero odia estas cosas porque nunca pueden recordar una contraseña segura, así que configuraron "sunsname123 @" y el cajero la escribió para ellos y el usuario lo mete en su billetera.

Esta es una práctica bastante estándar. Los números de pin se pueden averiguar solo con la necesidad de verificar un subconjunto de los números que podrían ser una fecha válida, en algunas combinaciones. La pregunta de seguridad no tiene sentido, ya que es de conocimiento público, y la contraseña cumple todos los requisitos técnicos o una "contraseña segura" pero no lo es.

Nueva forma :

Un usuario configura su cuenta y se le pide que elija un pin de todo de 6 dígitos. Ellos todavía eligen uno basado en una fecha.

Luego se ayuda al usuario, se le da o se le indica que instale un autenticador de múltiples factores (por ahora podemos simular un llavero).

Ahora, sin importar la transacción, ya sea en un cajero automático o en una sucursal o por teléfono, puede indicar al personal del banco y al cliente que proporcionen / reciban el PIN y el código MFA.

En el mundo real, esto probablemente presenta menos riesgo que las personas menos inclinadas a la seguridad que llaman una vez a la semana porque olvidaron su contraseña, brindaron la respuesta de conocimiento público a su pregunta de seguridad, restablecieron su contraseña, la escribieron DE NUEVO y la pegaron en sus carteras.

Casi, pero no del todo

Es "lo suficientemente seguro" en el sentido de que a primera vista, es muy poco probable (casi imposible) que alguien ingrese a su cuenta y pueda acceder a datos como, por ejemplo, el saldo de su cuenta y, en la medida en que es incluso menos probable (debido a la autenticación de dos factores), podrán realizar una transacción.

Es no lo suficientemente seguro en la medida en que es posible alimentar números de cuenta aleatorios con PIN aleatorios (el formato exacto del número de cuenta, incluidos los dígitos de control, es información conocida públicamente, esto limita enormemente la búsqueda). espacio). Ten en cuenta que aleatorio es exactamente lo que es la condición previa para la paradoja del cumpleaños, por lo que la suerte está del lado del atacante.

A menos que el banco se bloquee por dirección IP al activar el bloqueo (es poco probable, pero aún así puede ejecutar el ataque desde una red de bots de forma trivial), su política de bloqueo fuerte no vale exactamente nada contra este ataque. Puede probar literalmente diez miles de combinaciones de cuenta / PIN por segundo.

Sí, no es factible apuntarte a ti personalmente , y todavía es un poco tedioso apuntar a alguien , pero apuntar a alguien no es prácticamente imposible, es completamente factible sin siquiera ingresar al servidor y robar la base de datos de la cuenta o algo así.

Ahora, si considera la posibilidad de que alguien lea el saldo de su cuenta y sus datos personales y sepa que su ingreso es algo con lo que puede vivir (no tiene nada que ocultar, ¿verdad?), esto es sin embargo preocupante. cosa.

Ahora no solo saben quién es usted y dónde vive (y si vale la pena robar su casa o secuestrar a su hijo), sino que también es totalmente posible dado el nombre y el nombre del titular de la cuenta, además del nombre. número de cuenta para domiciliación bancaria usted.
Por supuesto, puede disputar la transacción, si se da cuenta de ello dentro de las 4 semanas. Pero si escapa a tu atención, es mala suerte para ti. En cualquier caso, es un montón de problemas.

Sí, está bien, pero solo si es parte de la autenticación multifactor * e incluye un sistema de verificación de canal lateral sobre las acciones del usuario **.

En mi opinión, todas las soluciones menos seguras no son adecuadas en un banco de Internet moderno y no abordan las computadoras infectadas, MIB, etc.

* Por ejemplo, tiene que responder por la computadora que está utilizando, a través de su teléfono móvil.

** Por ejemplo, cada acción de pago se envía con un código a su teléfono móvil que también incluye detalles sobre la acción de pago que está aceptando.