Mi banco me envía por correo electrónico mi estado de cuenta mensual en un archivo adjunto PDF protegido con contraseña. ¿Es este un método seguro para transmitir algo tan sensible como un extracto bancario?
No, el uso de un archivo PDF protegido por contraseña simplemente no es lo suficientemente bueno para datos confidenciales.
Como ya han dicho otros, la versión más reciente del estándar PDF utiliza métodos de encriptación mucho mejores que los que usaron originalmente, sin embargo, una contraseña en un archivo (incluso una fuerte) siempre será susceptible de ataques de fuerza bruta. En este punto, solo está esperando que su computadora sea lo suficientemente lenta para que, para el momento en que descifren su contraseña (con la esperanza de que sea sólida), la información sea irrelevante. Eso es un montón de 'esperemos-s'. Suponiendo que los estados de cuenta bancarios mensuales y una contraseña de menos de 50 caracteres, la seguridad de sus documentos está empezando a sonar casi ingenua.
Esto también podría crear un riesgo de seguridad de otras maneras, dependiendo de dónde obtenga la contraseña el banco. Sé de un banco que hace algo similar a esto y usa la contraseña de su cuenta para cifrar el documento, de modo que solo tiene que recordar una contraseña. Esto significa que están almacenando la contraseña de su cuenta en el servidor. Puede estar encriptado y puede no estarlo, pero de cualquier manera, es probable asumir que cualquier atacante que logre ingresar al servidor de su banco y obtener un volcado de la base de datos ahora tenga su contraseña. No hay excusa para guardar contraseñas como cualquier otra cosa que no sean los hash salados (el mismo banco le envía su contraseña si la olvida ... sí, en un correo electrónico de texto simple).
Si puede, llame a su banco y pídales que comiencen a enviarle sus estados de cuenta encriptados usando un sistema de clave pública. PGP y S / MIME
Muchos bancos también proporcionan tokens RSA (o tecnología equivalente) por un precio relativamente bajo. Aunque ha habido algunas violaciones de seguridad (graves) con RSA en particular últimamente, esta es una gran adición a la seguridad de su cuenta si su banco lo ofrece.
Ni siquiera confiaría en su seguridad, incluso si no tuviera información personal tan valiosa.
El estándar de encriptación que usa Adobe para las versiones más recientes no es malo en absoluto como lo mencionó Graham, pero el problema más grande es su implementación real. (Aunque la implementación en Adobe 8 fue en realidad un poco mejor, a pesar de que solo tenía encriptación de 128 bits, incluso los propios Adobe).
Elcomsoft comercializa un producto específicamente para evitar la contraseña de PDF (no necesariamente de recuperación) que funciona bastante bien según las pruebas que he visto de terceros (incluida la CMU).
Combinando ese hecho con la posibilidad de que la contraseña en sí misma sea insegura / fácil de adivinar, el hecho de que se envíe de manera predecible a una cuenta que podría estar comprometida, y el hecho de que almacenen algo sobre usted en ella. y esa es una receta para el desastre / un nuevo banco / una nueva política para ellos por lo menos.
Supongo que muchos bancos no consideran los estados de cuenta mensuales como "datos confidenciales", por lo que sé, muchos de los bancos tienen barras bastante bajas cuando se trata de estados de cuenta mensuales.
Como han dicho otros, creo que el cifrado de PDF no es el mejor,