¿Es segura mi cuenta en línea en una empresa financiera?

Navega tus respuestas
0

Recientemente abrí una cuenta en una firma de corretaje, con sede en India, que lamentablemente me parece que no está siguiendo una buena medida para garantizar la seguridad. Pero tal vez me equivoque, ya que no soy un experto en este campo. Por lo tanto, estoy pidiendo ayuda.

El inicio de sesión de la empresa en su página web, restringe la longitud de la contraseña a un máximo de 12 caracteres y me pide que responda 5 preguntas estúpidas como "¿Cuál es el apellido de soltera de su madre?" como una medida 2FA. Por alguna razón, en una de sus páginas de preguntas frecuentes también sugieren que el usuario puede responder las 5 preguntas con "a", ya que será más fácil de recordar. Como medida adicional de seguridad, si ingreso una contraseña incorrecta más de 3 veces, mi cuenta se bloqueará y tendré que restablecer mi cuenta usando las 5 preguntas de seguridad. En su política de privacidad, solo mencionan un hecho sobre la seguridad de la cuenta, que utilizan el cifrado SSL. Nunca mencionan si han tenido alguna auditoría de seguridad realizada por Verisign, Norton u otro tercero.

¿Están siendo laxos en su seguridad en línea? De ser así, ¿cuánto y cuáles son las medidas mínimas que debe tomar una institución como ellas para garantizar la seguridad en línea de la cuenta de sus clientes?

    
pregunta user120932 09.08.2016 - 09:04
fuente

2 respuestas

-1

Una contraseña de 12 caracteres es lo suficientemente larga como para que no sea fácil de descifrar.

¿Estás seguro de que esas preguntas son para 2FA? No tiene sentido Esas preguntas son probables para ayudar en el proceso de recuperación, pero definitivamente no es un 2FA. Esa recomendación en sus preguntas frecuentes es bastante WTF ??, supongo que mucha gente está usando esa respuesta a sus preguntas xD

Los tres intentos o bloqueo son IMO muy estrictos, pero bueno, ahí tienes seguridad adicional.

En resumen, si se trata de una empresa financiera legal, debería haber aprobado el PCI-DSS , para que pueda estar seguro de que tiene un buen estándar de seguridad.

    
respondido por el yzT 09.08.2016 - 09:21
fuente
-1

Trabajo en la profesión de seguridad de TI como auditor de TI. Tiene razón en preocuparse porque, según su descripción, el sitio es inseguro . Los puntos específicos de debilidad se describen a continuación:

  

Uso del protocolo SSL ya no seguro

La Capa de sockets seguros (SSL) ya no es segura debido a ataques de baja calificación como POODLE Las versiones anteriores de Seguridad de la capa de transporte (TLS) comparten problemas similares. Si es posible, el sitio debería estar utilizando TLS 1.2.

  

No se menciona el uso de certificados para el sitio web

Los certificados se utilizan para validar la identidad del sitio web en el que está iniciando sesión. Sin un certificado válido no puede estar seguro de iniciar sesión en el sitio web legítimo y legítimo porque el sitio web podría ser un sitio de phishing diseñado para imitar al sitio real. La información clave que desearía confirmar para estar cómoda es la seguridad de sus datos confidenciales:

  1. Método utilizado para firmar los certificados: longitud de clave y método de encriptación

  2. Quién es la autoridad de certificación (CA) que firmó el certificado y si su navegador confía en esta CA.

  3. Si el nombre del certificado coincide con el nombre del sitio web y la fecha de caducidad del certificado no ha pasado.

Otros factores clave, aunque no se mencionan, pero que desea validar son:

  

Requisitos de contraseña distintos de la longitud

Lo ideal es que los requisitos de contraseña incluyan requisitos de complejidad, como mezclar mayúsculas, minúsculas, números y caracteres especiales. El propósito es mitigar el ataque de fuerza bruta mediante el cual se utilizan herramientas automatizadas para probar todas las combinaciones posibles hasta que se encuentre la contraseña correcta.

  

Salvaguardas contra ataques basados en web

El sitio web al que está enviando sus datos financieros debe estar diseñado para tener salvaguardas contra ataques comunes basados en la web, como XSS, ataques de inyección y ataques de fijación. A este respecto, las salvaguardas se centrarían en la validación adecuada de las aportaciones del usuario.

    
respondido por el Anthony 05.02.2017 - 18:28
fuente

Lea otras preguntas en las etiquetas

¿Aún queda algo para navegar de forma anónima al 100% en Internet usando una computadora? [duplicar] explorer.exe saliente (conexiones TCP inexplicables)