¿Hay alguna seguridad obtenida de los nombres de usuario emitidos por el banco en este flujo de autenticación? [duplicar]

Navega tus respuestas
1

La función de banca en línea de Mi banco no usa nombres de usuario. En su lugar, me asignaron un número de cuenta de sólo un dígito *. Para iniciar sesión, ingrese mi número, luego me lleva a una nueva página para solicitar mi contraseña. Sin embargo, en la página de contraseñas hay una imagen que seleccioné de una lista de cientos de imágenes, así como un título, probablemente en el caso de que tu dedo gordo su número. (por ejemplo: [imagen de una roca] 'A look lookin rock')

¿Se ha ganado valor al usar este método de seguridad? ¿Existe alguna característica particular de este método que se pueda cambiar / eliminar para mejorar la seguridad? ¿Debo escribir un correo electrónico a mi banco?

Algunas advertencias:

  • He probado con algunos números aleatorios (y caracteres), dan como resultado una página de solicitud de contraseña con una de las imágenes y un título genérico
  • Las leyendas de las imágenes comparten un formato similar: siempre están en minúsculas y describen la imagen
  • No parece haber ninguna forma de Captcha en la página de inicio de sesión o contraseña.

* Nota: no es lo mismo que mi número de cuenta bancaria (habría corrido).

    
pregunta schil227 10.04.2017 - 17:52
fuente

1 respuesta

0
  

¿Se ha ganado valor al usar este método de seguridad?

Un poco, pero no mucho (por lo que no es común).

Al emitirle un ID de usuario en lugar de que lo elija, el banco ha endurecido el flujo de inscripción de la Banca en línea contra hackers interesados en los ID de usuarios agrícolas. Si pudieras elegirlo, podrías probar varias ID de usuario para ver si ya están tomadas.

Ahora, si te emitieran tu contraseña , sería un asunto diferente (sería realmente malo).

  

¿Existe alguna característica particular de este método que se pueda cambiar / eliminar para mejorar la seguridad?

Eh, en realidad no. Supongo que podrían hacer que el identificador sea alfanumérico para aumentar la entropía, pero tal vez no quieran arriesgarse a introducir palabras ofensivas al azar. Y puede obtener el mismo aumento de entropía agregando más dígitos.

  

¿Debo escribir un correo electrónico a mi banco?

No. Probablemente pensaron en esto un poco. Si un hacker comprometió su cuenta, es responsable de la pérdida, no usted, suponiendo que sea miembro de la FDIC.

  

He probado con algunos números aleatorios (y caracteres), dan como resultado una página de solicitud de contraseña con una de las imágenes y un título genérico

Si su sistema está diseñado correctamente, deberían ser falsos. Una identificación de usuario debe ser difícil de adivinar. Si son secuenciales, definitivamente hay un problema.

  

Las leyendas de las imágenes comparten un formato similar: siempre están en minúsculas y describen la imagen

Los títulos están justo ahí para el cumplimiento de 508 / ADA / WCAG. Los usuarios ciegos no pueden ver las imágenes, pero pueden hacer que un lector de pantalla les lea las leyendas.

  

No parece haber ninguna forma de Captcha en la página de inicio de sesión o contraseña.

La mayoría de los usuarios odian a CAPTCHA, y no es realmente necesario si implementan un mecanismo de bloqueo adecuado con una liberación de bloqueo automática temporizada.

    
respondido por el John Wu 10.04.2017 - 22:27
fuente

Lea otras preguntas en las etiquetas

Número de tarjeta de crédito en el informe de crédito. ¿Aceptable o no? ¿Podría funcionar en un entorno real la broma de baile de desbordamiento de pila La broma de April Fool's realmente funciona?