¿IBAN con muy pocos dígitos en blanco?

8

Es habitual que los sitios web, mensajes u otros documentos a veces muestren datos (números de tarjetas de crédito, números de teléfono, ...) con algunos números en blanco (por ejemplo, reemplazados con asteriscos) para que el lector legítimo pueda reconocer lo que está lleno. el número está detrás de él, pero un adversario no puede.

Mi banco usa esto para ofuscar el número de cuenta bancaria de los destinatarios de las transferencias bancarias en los mensajes de confirmación de mTAN. Sin embargo, solo ocultan los últimos tres dígitos de tres de un IBAN .

Dado que IBAN implica una suma de comprobación de módulo 97, esto no es en realidad mucho mejor que ocultar un dígito único de datos "reales", lo que permite al adversario tener una posibilidad significativa de acertar. Dado el hecho adicional de que ciertos bancos tienen números de cuenta locales predecibles que forman el extremo derecho del IBAN (por ejemplo, a menudo terminan en 00, o tal vez ya existía algún tipo de suma de comprobación), me parece que esta práctica no es muy reconfortante.

¿Debería preocuparme / pedirle aclaraciones al banco?

EDITAR: soy consciente de ¿Cómo enmascarar la información de SEPA (IBAN y BIC) correctamente? , pero esa pregunta y respuesta apuntan en una dirección muy diferente, a saber: ¿Qué cantidad de un IBAN debe exponerse para reconocerla desde una puñado de "mis" IBAN para usar en una transacción planificada? La respuesta indica que normalmente los últimos 3-4 dígitos son suficientes. Sin embargo, mi pregunta tiene que ver con el escenario opuesto, que un IBAN se transmite con casi todos dígitos visibles. Tiene sentido mostrar muchos dígitos en este escenario para que pueda estar algo seguro de que el IBAN es el arbitrario que escribí antes (y no la cuenta de alguien que intercepta el mTAN). Mientras que "los números IBAN no son secretos" también pueden aplicarse aquí (cuestionando así la necesidad de ofuscar), también me preocupan más las implicaciones de que la suma de comprobación fuerte estropea la ofuscación casi por completo.

    
pregunta Hagen von Eitzen 20.09.2015 - 20:01
fuente

1 respuesta

2

El motivo para indicar (parte de) el IBAN en el mensaje mTAN es proteger a usted de un atacante como el complemento del navegador malicioso que modifica la cuenta de destino. Cuanto más se oculte, mayor será la posibilidad de que el atacante pueda usar una colisión, es decir, tenga acceso completo a una cuenta donde los números no ocultos coincidan con su transferencia prevista. Como el complemento solo cambiaría la cuenta para las transacciones que sabe que puede explotar, el banco quiere mostrar todo lo posible para reducir la posibilidad. La probabilidad de que alguien intercepte el mTAN en sí es probablemente considerada demasiado pequeña como para molestarla.

  

Por ejemplo, en Alemania, uno podría comprar bienes / servicios simplemente sabiendo su nombre y número de cuenta bancaria (IBAN)

Bueno, este es el verdadero problema de que uno debe pedirle a su banco una aclaración. Un número de cuenta no es secreto ni impredecible y debe tratarse como información de acceso público. Si se conoce un número de cuenta, generalmente también se pueden generar otros números de cuenta válidos con bastante facilidad, por lo que solo se puede esperar que el nombre también se verifique.

    
respondido por el numo68 05.01.2016 - 10:58
fuente

Lea otras preguntas en las etiquetas