¿Cómo puede el inicio de sesión de American Express Serve ser compatible con PCI-DSS?

Navega tus respuestas
0

Hoy fui a iniciar sesión en mi cuenta American Express Serve en enlace y descubrí accidentalmente lo que parece ser un gran agujero en su proceso de inicio de sesión .

Aquí están los pasos involucrados:

  1. Ingrese un correo electrónico válido. Sirva la dirección de correo electrónico en la casilla Correo electrónico.
  2. Escriba al menos un carácter en el cuadro Contraseña.
  3. pestaña fuera del cuadro de contraseña.
  4. "Por favor ingrese una contraseña válida". ahora se muestra en rojo debajo del cuadro de contraseña.
  5. Vuelva al cuadro Contraseña y comience a escribir caracteres.
  6. Con cada carácter escrito, se comprueba la contraseña. Una vez que la contraseña es válida, el texto rojo desaparece, lo que indica una contraseña válida.

Ahora, una vez que se pulsa el botón Iniciar sesión, se le hacen preguntas de seguridad al usuario. Esto parece mitigar el problema, pero la contraseña ya se conoce en este punto !

Editar:

Los comentarios en esta pregunta son correctos: la contraseña no se está comprobando. Lo que se está comprobando es si los caracteres ingresados coinciden con los requisitos de contraseña. Esto parece ser un comportamiento razonable.

    
pregunta GaTechThomas 17.05.2015 - 19:44
fuente

1 respuesta

8
  

comience a escribir caracteres., Una vez que la contraseña es válida, el texto rojo desaparece, lo que indica una contraseña válida.

Este tipo de comportamiento no necesariamente viola los requisitos de PCI DSS.

Si el sitio funciona de la manera que usted describe, no es muy bueno desde el punto de vista de la seguridad porque hace que los ataques de fuerza bruta sean más difíciles de detectar, pero eso no lo hace no compatible.

La razón por la que no es muy buena desde el punto de vista de la seguridad es que no hay ninguna diferencia desde el punto de vista del sistema cuando un usuario escribe una contraseña de 10 caracteres para un usuario que prueba 10 contraseñas diferentes, por lo que cualquier tipo de limitación de solicitudes o bloqueo de cuenta. tendría que dar cuenta de los "intentos" realizados al ingresar la contraseña.

¿Cómo puede esto ser compatible con PCI DSS?

Muchos de los requisitos de contraseña de PCI-DSS no se aplican a los inicios de sesión de los clientes, solo a los "usuarios no consumidores".

Por ejemplo,

  

8.1.6 Limite los intentos de acceso repetidos bloqueando el ID de usuario después de no más de seis intentos.

no se aplica al "usuario cliente":

  

Requisitos 8.1.1, 8.2, 8.5, 8.2.3 a 8.2.5 y 8.1.6 a   8.1.8 no están destinadas a aplicarse a cuentas de usuario dentro de una aplicación de pago en el punto de venta que solo tienen acceso a una tarjeta   número a la vez para facilitar una transacción única (como   cuentas de caja).

Entonces, aunque esto no es una buena seguridad, no hay nada que impida el cumplimiento de PCI.

Cláusula de exención de responsabilidad estándar: no soy un QSA, e incluso si lo fuera, no soy su QSA, por lo tanto, mi opinión no afectaría su cumplimiento (o el de otra persona).

Alternativamente

Como Ian Cook señala, el sitio parece estar simplemente comprobando que la contraseña cumple con los requisitos de seguridad, no la contraseña en sí. Por lo tanto, mi respuesta anterior refleja el comportamiento del sitio como se indica en la pregunta original. Si el sitio solo comprueba la seguridad de la contraseña, no tendrá problemas para detectar y responder a los ataques de fuerza bruta.

    
respondido por el SilverlightFox 17.05.2015 - 20:06
fuente

Lea otras preguntas en las etiquetas

¿Qué puertos están en peligro y deben cerrarse con atención inmediata? Problemas de seguridad relacionados con la descarga de contenidos de sitios web