¿Por qué los bancos no firman su correo electrónico con S / MIME?

8

Si el correo electrónico enviado por mi banco incluyera firmas S / MIME que mi cliente de correo pueda verificar, entonces tendré la seguridad de que el correo no fue manipulado o enviado por un tercero malicioso. La mayoría de los clientes de correo importantes tienen soporte de S / MIME (Outlook, iOS, Thunderbird, Mail.app), ¿por qué no son las firmas de S / MIME más prevalentes?

    
pregunta sigjuice 19.02.2016 - 05:25
fuente

2 respuestas

10

Por lo general, es una decisión de costos y beneficios.

Costos:

  • Cree su propia infraestructura de CA o compre un certificado público para cada remitente
  • Enseñar a los empleados cómo usarlo
  • Enseñe a los empleados cómo no usarlo, especialmente cómo asegurarse de que la clave secreta realmente se mantenga secreta
  • Enseñe a los clientes lo que significa esta cosa extraña en el correo
  • Tratar adecuadamente la caducidad, revocación de certificados y todo esto
  • ...

Beneficios:

  • Por lo general, la argumentación es así: nadie más está usando esto, por lo que no puede haber muchos beneficios

Por lo tanto, a menos que los beneficios sean más altos que los costos o algunas regulaciones requieran el uso de correos firmados, no se implementará.

Aparte de eso, usar S / MIME correctamente no es tan simple para el destinatario. Si bien puede haber indicadores que muestren si un correo está firmado o no, pocos entienden cómo se ven estos indicadores, qué tipo de indicadores diferentes existen y que no debe confiar en ningún indicador que esté incluido en el correo e intente hacer creer al usuario que todo es seguro: es decir, algo así como los sellos de confianza, los mensajes "escaneados por cualquier antivirus", etc. Por lo tanto, también existe el costo de enseñar a todos los usuarios.

    
respondido por el Steffen Ullrich 19.02.2016 - 06:24
fuente
4

Mi banco nunca envía correos electrónicos. En su lugar, hay un servicio de mensajería dentro de mi interfaz de banca en línea que puedo usar. Además, se indica en el sitio del banco y en los materiales impresos que recibo por correo, que mi banco NUNCA usa el correo electrónico para las comunicaciones.

Entiendo que esta solución es buena para el banco, ya que ahorran costos al no tener una infraestructura de correo electrónico segura. No contactarme por correo electrónico también parece ser un compromiso justo entre la accesibilidad y la seguridad. Si mi banco decidiera comunicarse conmigo por correo, mi primera pregunta sería: ¿cómo puede saber qué correo electrónico he escrito realmente y cuál fue enviado a usted en mi nombre con intención fraudulenta?

Si debo obtener mi propio certificado y validarlo de alguna manera con el banco, solo para poder recibir sus mensajes en mi cliente de correo electrónico, personalmente prefiero seguir con la solución existente.

    
respondido por el Dmitry Grigoryev 19.02.2016 - 11:39
fuente

Lea otras preguntas en las etiquetas