Ein 6-stelliges numerisches Passwort macht nicht viel.

Warum 6-stellig?

Troy Hunt hat einen ausgezeichneten Blog über das Erstellen schwache Passwörter, in denen er über verschiedene schlechte Praktiken spricht, einschließlich des Erzwingens kurzer numerischer Passwörter, und die häufig verwendete Ausrede vorbringt, dass

„Wir möchten, dass Benutzer dasselbe Passwort auf der Telefontastatur verwenden“

Der einzig gültige Grund für die Anforderung eines nur numerischen Passworts besteht darin, dass die einzige Eingabe, die einem Benutzer zur Verfügung steht, numerisch ist (z. B. bei Geldautomaten). (Ebenso ist der einzig gültige Grund, ein von Menschen lesbares Passwort zu verlangen, dass ein Mensch es liest - was ein sehr schlechtes Zeichen wäre, wenn es nicht nur für das Telefonbanking, sondern auch für die Website verwendet würde) .

Aber wenn dies der Grund ist, warum um alles in der Welt würden sie Sie zwingen, denselben unsicheren Passcode online (oder mobil) zu verwenden, wenn Sie Zugriff auf eine vollständige QWERTY-Tastatur haben?

Wie einfach ist es, den Weg brutal zu erzwingen?

Es gibt 10 ^{6 sup> mögliche Passwörter, die aus 6 Ziffern bestehen.}

Für einen ungelernten Angreifer in Ihr Konto ist überhaupt kein Problem, wenn sie Ihren Benutzernamen und unbegrenzte Versuche haben. Sie sollten davon ausgehen, dass sie Ihren Benutzernamen haben. Benutzernamen sind keine Geheimnisse.

Nehmen wir vielleicht an, die Bank hat darüber nachgedacht und sperrt jedes Konto nach drei Fehlversuchen oder initiiert eine roboterbegrenzende Option wie ein Captcha für Versuchen Sie es danach erneut. Dann hat der Angreifer immer noch eine Chance von 3/1000000, auf ein zufälliges Konto in diesem Fenster zuzugreifen.

Das heißt, wenn er 1000000 Konten angreift, kann er damit rechnen, in 3. zu gelangen. 3000000 Anfragen würden dies nicht tun dauert überhaupt sehr lange.

Vergleichen Sie dies mit der Anzahl der Passwörter mit 6 alphanumerischen Zeichen (nach den meisten Sicherheitsstandards viel zu kurz und nicht komplex genug).

Es gibt 62 ^{6 sup> = 56800235584 mögliche alphnumerische Kennwörter mit 6 Zeichen. Das ist immer noch zu schwach , aber bereits 56800-mal stärker!}

Sicher gespeichert?

Unnötig zu sagen, wenn die Benutzerdatenbank verletzt wurde, 10 ^{6 sup> mögliche Passwörter haben eine lächerlich niedrige Entropie, und unabhängig davon, welches Hashing- und Salting-System sie verwendet haben, können sie Ihren Passcode nicht sicher aufbewahren.}

Der Plan Ihrer Bank im Falle eines Datenbankverstoßes lautet vermutlich um sich umzudrehen und zu weinen. Vielleicht denken sie, dass das Ergebnis so schlecht ist, dass sie es einfach nicht planen werden.

Angenommen, die andere Authentifizierungsmethode ist sicher, sollte ich mir Sorgen machen?

Ein Angreifer, der Ihre Finanzen sieht Geschichte ist ein wirklich großes Thema; Sie sollten sich Sorgen machen, auch wenn die andere Authentifizierungsmethode, die Übertragungen blockiert, sicher ist. Und Sie sollten nicht erwarten, dass die andere Methode sicher ist.

Wie viele andere Informationen werden ohne die zweite Authentifizierungsmethode über Sie weitergegeben? Ihr Name, Adresse, E-Mail vielleicht?

Dies sind mehr als genug, um Hintergrundinformationen über Sie zu sammeln und zusätzliche Informationen zu erhalten. Dies können Hinweise auf Ihr anderes Passwort oder gute Informationen darüber sein, wie Sie Phishing betreiben können. Sie könnten versuchen, Sie anzurufen, die Informationen, die sie bisher über Sie haben, zu nutzen, um Ihr Vertrauen zu gewinnen, sich als Bank auszugeben und Sie dazu zu bringen, andere Geheimnisse über sich selbst preiszugeben, wenn Sie sich bei ihnen authentifizieren, indem Sie die letzten paar beantworten Fragen, die sie benötigen, um in Ihr Konto zu gelangen.

Als weiteres Beispiel, wenn die 2. Authentifizierungsmethode ein starkes Passwort ist, Sie (und für die meisten Kunden das "Sie" nicht technisch versiert sind), aber der Kunde zufällig hat wurde jemals in eine Datenbankverletzung für eine andere Website aufgenommen, bei der derselbe Benutzername / die gleiche E-Mail-Adresse und das gleiche Passwort verwendet wurden. - Diese Logik gilt für alle auf Benutzernamen und Kennwörtern basierenden Systeme. Sie ist jedoch in diesem Fall besonders relevant, da der Angreifer andere Informationen über Sie ermitteln kann, die durch die erste unsichere Authentifizierungsmethode verfügbar gemacht wurden, und weil das zweite Kennwort jetzt nur noch das ist Hindernis für die Einnahme Ihres Geldes - Dies ist ein Grund, warum der Industriestandard darin besteht, eine 2-Faktor-Authentifizierung auf Bankwebsites zu fordern, bevor dem Benutzer etwas angezeigt wird.

Wie für Industriestandards; Meine Bank hat ein Passwort ohne maximale Länge mit der Möglichkeit, Sonderzeichen zu verwenden und anschließend einen zweiten Passcode einzugeben, der nur durch Auswahl von einigen Buchstaben aus einer Reihe von Dropdown-Listen eingegeben werden kann Der gesamte 2. Passcode wird nicht in einem einzigen Versuch verwendet.

Ich würde es vorziehen, wenn meine Bank einen Out-of-Band-Authentifizierungsfaktor für das 2. Band verwendet. B. ein Code, der an mein Telefon gesendet wird.

Ungewöhnlich? Ja. Verrückt? Lesen Sie weiter, um zu verstehen, warum ...

Ich gehe davon aus, dass Ihre Bank eine strenge Sperrrichtlinie hat. Beispielsweise sperren drei falsche Anmeldeversuche das Konto für 24 Stunden. In diesem Fall ist eine 6-stellige PIN nicht so anfällig, wie Sie vielleicht denken. Ein Angreifer, der ein Jahr lang täglich drei PINs ausprobiert hat, hat immer noch nur eine Wahrscheinlichkeit von 0,1%, die PIN zu erraten.

Die meisten Websites (Facebook, Gmail usw.) verwenden entweder E-Mail-Adressen oder Benutzer -ausgewählte Namen als Benutzername, und diese können von Angreifern leicht erraten werden. Solche Websites haben in der Regel eine viel entspanntere Sperrrichtlinie, z. B. drei falsche Anmeldesperren für ein Konto für 60 Sekunden. Wenn sie eine strengere Sperrrichtlinie hätten, könnten Hacker alle möglichen Probleme verursachen, indem sie legitime Personen von ihren Konten sperren. Die Notwendigkeit, Konten mit einer lockeren Sperrrichtlinie zu schützen, besteht darin, dass sie auf sicheren Passwörtern bestehen.

Bei Ihrer Bank ist der Benutzername eine 16-stellige Nummer - Ihre Kartennummer. Sie halten Ihre Kartennummer im Allgemeinen privat. Sicher, Sie verwenden es für Kartentransaktionen (online und offline) und es befindet sich im Klartext in Ihrer Brieftasche - aber es ist einigermaßen privat. Dies ermöglicht der Bank eine strengere Sperrrichtlinie, ohne Benutzer Denial-of-Service-Angriffen auszusetzen.

In der Praxis ist diese Anordnung sicher. Wenn Ihr Mitbewohner Ihre Karte findet, kann er nicht auf Ihr Konto zugreifen, da er die PIN nicht kennt. Wenn ein Hacker versucht, Tausende von Konten zu hacken, kann er dies nicht, weil er die Kartennummern nicht kennt. Die meisten Kontokompromisse treten aufgrund von Phishing oder Malware auf, und eine 6-stellige PIN ist für diese Angriffe nicht anfälliger als ein sehr langes und komplexes Kennwort. Ich vermute, dass Ihre Bank nicht mehr alltägliche Sicherheitsprobleme hat als andere Banken, die normale Passwörter verwenden.

Sie erwähnen, dass Transaktionen eine Multi-Faktor-Authentifizierung erfordern. Das Hauptrisiko einer kompromittierten PIN besteht also darin, dass jemand Ihre Private-Banking-Daten einsehen kann. Sie konnten Ihr Gehalt und Ihre Geschichte zwielichtiger Einkäufe sehen. Einige Leute haben erwähnt, dass eine 6-stellige PIN trivial anfällig für einen Offline-Brute-Force-Angriff ist. Wenn also jemand die Datenbank gestohlen hat, könnte er Ihren Hash knacken und Ihre PIN erhalten. Das ist zwar wahr, aber es spielt keine große Rolle. Wenn sie Ihre PIN geknackt haben, können sie sich anmelden und Ihren Bankverlauf anzeigen - aber keine Transaktionen durchführen. Aber in diesem Szenario können sie Ihre Bankhistorie trotzdem sehen - sie haben die Datenbank bereits gestohlen!

Obwohl diese Anordnung nicht typisch ist, scheint sie doch nicht so verrückt zu sein. Ein Vorteil kann sein, dass Benutzer auf anderen Websites nicht dasselbe Kennwort wiederverwenden. Ich vermute, dass sie dies aus Gründen der Benutzerfreundlichkeit getan haben - die Leute beschwerten sich, dass sie sich nicht an die langen, komplexen Passwörter erinnern konnten, die die Site zuvor benötigte.

Ursprüngliche Antwort

Dies ist eine schlechte, schlechte Richtlinie. Es gibt nur 10 ^{6 sup> oder eine Million verschiedene 6-stellige Zahlen. Das ist so wenig.}

Es ist fast unmöglich, einen Offline-Brute-Force-Angriff zu verhindern, egal wie langsam Sie einen Hashing-Algorithmus verwenden. Wenn ein Versuch 1 Sekunde dauert, knacken Sie innerhalb von 11 Tagen ein Passwort. Es kann auch zu wenig sein, um einen cleveren Online-Brute-Force-Angriff vollständig zu stoppen, wenn der Angreifer mehrere IPs verwenden kann (z. B. um ein Botnetz zu steuern) und viele verschiedene Kartennummern zum Anprobieren hat.

Dies ist Erschwerend kommt hinzu, dass die meisten Leute, genau wie bei normalen Passwörtern, diese nicht zufällig auswählen. 123456 wird zwangsläufig häufig angezeigt, ebenso Zahlen, die Datumsangaben darstellen. In der Praxis haben die meisten Passwörter viel weniger als 6 × log _{2 sub> (10) ≈ 20 Bit Entropie.}

Ich kann keine Gründe erkennen, warum Sie nicht auswählen dürfen ein stärkeres Passwort. Diese Praxis sendet das Signal, dass ihnen die Sicherheit einfach egal ist. Es lässt mich auch vermuten, dass irgendwo in ihrer Datenbank eine NUMMER (6) anstelle eines gespeicherten Hashs vorhanden ist.

Diese Zahlungen können nicht ohne einen anderen Authentifizierungsfaktor ausgeführt werden ein bisschen beruhigend, aber nicht viel. Ein Angreifer kann weiterhin Ihren Kontoverlauf anzeigen, der sehr vertrauliche Informationen enthalten und auch für Phishing verwendet werden kann.

Selbst wenn dies wahrscheinlich niemals gegen Sie verwendet wird, würde ich in Betracht ziehen, zu wechseln, wenn ich Sie wäre zu einer neuen Bank. Am besten eine, die beim Anmelden eine Zwei-Faktor-Authentifizierung erfordert.

Weitere Kommentare

Es gab einige Diskussionen in Kommentaren und einige gute Antworten mit einer anderen Ansicht sind aufgetaucht, daher würde ich gerne Ausarbeiten und auf einige Kritikpunkte reagieren.

Aber die Benutzernamen sind geheim!

Der Frage zufolge sind die ID-Kartennummern (nicht zu verwechseln mit Kreditkartennummern) "fast öffentlich", und OP hat in Kommentaren klargestellt, dass er Listen von ihnen als "Ergebnisse für Dienstleistungen des öffentlichen Sektors" angesehen hat. Mit anderen Worten, die Benutzernamen sind nicht geheim . Und das sollten sie auch nicht sein müssen - wenn die Sicherheit Ihres Systems auf der Tatsache beruht, dass die Benutzernamen geheim sind, machen Sie es falsch.

Ratenlimit pro Konto und / oder IP-Nummer Kümmern Sie sich darum.

Ein verteilter Brute-Force-Angriff, z. B. mithilfe eines Botnetzes, hätte eine gute Chance, einige Konten zu beschädigen. Angenommen, Sie haben 10 000 Computer und jeder Computer testet 3 Kennwörter pro Tag während eines Monats auf verschiedenen Konten. Das sind ungefähr 10 ^{6 sup> Versuche. Das gibt Ihnen durchschnittlich ein Konto, wenn die Passwörter wirklich zufällig sind. In der realen Welt werden Sie viel, viel mehr bekommen.}

Sicher, die Bank könnte theoretisch über ein ausgeklügeltes System verfügen, um solche Angriffe zu erkennen und sich dagegen zu verteidigen. Vielleicht, vielleicht nicht. Als Kunde habe ich keine Möglichkeit zu wissen, und ich vertraue sicherlich keiner Organisation, die nicht einmal die Kennwortrichtlinie richtig ausführen kann, um etwas Fortgeschritteneres zu tun.

Ein Offline-Angriff ist irrelevant . Wenn die Passwörter nicht verfügbar sind, sind es auch die vertraulichen Daten, die sie schützen.

Vielleicht, vielleicht auch nicht. Im Internet schweben viele Datendumps mit unvollständigen Daten. Die Behauptung, dass die Passwörter für immer in Ihrem Kontoverlauf festgehalten werden, setzt einige sehr starke Annahmen darüber voraus, wie der Verstoß aufgetreten ist und wie die Daten danach behandelt wurden.

Ihre Kreditkarten-PIN ist nur vierstellig. Was macht es überhaupt aus?

Ihre Kreditkarten-PIN ist ein schwacher Faktor bei einer Zwei-Faktor-Authentifizierung. Der andere Faktor - der Besitz der Karte - stärkt das System.

Dieses Passwort ist ein schwacher Faktor und auch der einzige Faktor, der Ihre Finanzinformationen schützt.

Schlussfolgerung

Um es klar auszudrücken, ich sage nicht, dass es für eine Bank unmöglich wäre, dieses System mit anderen Mitteln zu sichern. Ich sage nicht, dass ein erfolgreicher Angriff auf irgendjemandes Konto wahrscheinlich ist, noch weniger auf Ihr Konto. Was ich damit sagen möchte, ist, dass dies für eine Bank nicht "sicher genug" ist.

Die Bank hat sich bereits die Mühe gemacht, eine Zwei-Faktor-Authentifizierung für Finanztransfers einzurichten. Warum nicht einfach auch für Anmeldungen verwenden?

Die Bank hat sich (hoffentlich) bereits die Mühe gemacht, ein Passwort zu hashen und in einer Datenbank zu speichern. Warum nicht einfach den Teil des Codes entfernen, der das Passwort auf sechs Ziffern beschränkt?

Entgegengesetzte Meinung: Vorsicht

Es ist sehr wahrscheinlich, dass Sie als Benutzer nicht auf andere Sicherheitsmaßnahmen aufmerksam gemacht wurden, die von Ihrer Bank vor Ihnen ergriffen wurden von Ihrer PIN. Ich weiß, dass ich bei CapitalOne360, das ein ähnliches 4 - 6-stelliges Pin-System hat, schockiert war! Aber nach einer Weile, in der ich die PIN auf demselben Computer verwendet hatte, musste ich mich endlich auf einem anderen Computer anmelden (andere IP, anderer Browser). Als ich das getan hatte, hatte es mich tatsächlich nach einem Passwort gefragt. Nicht nur das, sondern nachdem ich das Passwort erfolgreich eingegeben hatte, wurde auch meine PIN als Bonus angefordert.

Nach einigen Recherchen stellte ich fest, dass der Browser nur beim ersten Besuch der Website nach einem Passwort fragt und erhält eine Art Authentifizierungscookie. Sobald das Benutzerkonto für die IP / Cookie-Kombination dieses Computers vertrauenswürdig ist, kann es sich ohne Kennwort nur mit PIN anmelden. Wenn sich der Benutzer zum ersten Mal anmeldet, muss er ein Kennwort eingeben. Möglicherweise sind Sie sich der Praxis einfach nicht bewusst ( wie ich war).

Ich finde es unglaublich unwahrscheinlich, dass eine Bank, die bereits über ein funktionierendes funktionierendes Passwortsystem verfügt, diese vollständig für a Nur 6-stellig, numerische PIN-Nummer. Unternehmen mögen vielleicht dumm erscheinen, aber angesichts der Tatsache, dass eine 6-stellige Authentifizierung den gesunden Menschenverstand sowie die PCI-Standards verletzt, bezweifle ich aufrichtig, dass dies die einzige vorhandene Authentifizierung ist. Vielleicht kann das Originalplakat zusätzliches Licht ins Dunkel bringen, falls ich etwas verpasst habe.

Ist ein 6-stelliges numerisches Passwort für das Online-Banking sicher genug?

Nein, nicht nur aufgrund der Fähigkeit eines böswilligen Benutzers, einen solchen Authentifizierungsmechanismus zu unterbrechen , aber weil es gegen die PCI-DSS -Konformitätsstandards und die FFIEC-Richtlinien zur Authentifizierung verstößt. Darüber hinaus ist seit 2006 eine Multi-Faktor-Authentifizierung nach FFIEC-Richtlinien erforderlich.

Ich bin mir ziemlich sicher, dass Ihnen bei der Prüfung Ihrer Website etwas fehlt - also dort können zusätzliche Authentifizierungsfaktoren sein, die nur unter bestimmten Umständen auftreten, z wenn Sie Ihr Gerät oder Ihre IP-Adresse ändern. Entweder das, oder Sie schreiben nicht über eine echte Online-Banking-Website, sondern über eine Website für finanzielle Unterstützung von Drittanbietern (die ich wahrscheinlich nicht mehr verwenden würde, wenn ich Sie wäre).

Ich werde eine konträre Haltung einnehmen und sagen, ja, es ist sicher genug für eine Bank.

1. Banken haben normalerweise viel Geld, um sich von Verstößen zu erholen
2. Banken haben normalerweise großen Einfluss auf die Regierung und können Sammelklagen vermeiden (ich komme aus Kanada, und wir haben nur wenige große Banken).
3. Banken haben viele Kunden und weniger Supportanrufe = mehr Geld in der Tasche
4. Banken laufen normalerweise auf alten Mainframes, deren Aktualisierung teuer ist.
5. Banken verfügen normalerweise über eine Software zur Betrugserkennung, die alle Transaktionen analysiert.
ol>

Es geht also nicht um absolute Sicherheit, sondern darum, ob diese Kennwortrichtlinie gewinnmaximierend ist. In den meisten westlichen Ländern sind die Direktoren der Bank gesetzlich verpflichtet, den Gewinn für die Aktionäre zu maximieren.

Aus Kundensicht:

Ich empfehle nicht, Ihre Brute-Force zu versuchen eigenes Passwort, aber wenn Sie dies getan haben, werden Sie (hoffentlich) nach 3-5 Versuchen eine Kontosperrung bemerken. Dies verringert die Effektivität von Brute-Force-Angriffen.

Bei meiner Bank werden mir Sicherheitsfragen gestellt, wenn ich mich von einem Computer aus anmelde, bei dem ich mich noch nicht angemeldet habe. Ein Hacker auf einem anderen Computer müsste also das Passwort erraten und die Antwort auf die Sicherheitsfrage kennen.

Wenn Sie Verbraucher sind, bietet Ihre Regierung hoffentlich Verbraucherschutz, der bei Betrug zu einer Rückgabe Ihres Geldes führt.

Im Vergleich zu den in der Branche üblichen Praktiken sind Ihre Bedingungen nicht ungewöhnlich. Meine Bank hat ähnliche Richtlinien mit zwei bemerkenswerten Unterschieden:

• Der Benutzername ist NICHT meine Kartennummer. Ich habe es per Post in einem geschützten Umschlag erhalten, ähnlich dem, mit dem meine PIN gesendet wurde. Es ist jedoch kein wirkliches Geheimnis, es kann auch in einigen Aussagen gefunden werden.

• Mein Passwort ist numerisch mit mindestens 6 Ziffern (bis zu 10 Ziffern, glaube ich). Trotzdem verwende ich eine 6-stellige PIN.

Mein Online-Banking-Konto wird auch nach 3 fehlgeschlagenen Anmeldeversuchen gesperrt -gezwungen. Ich nehme an, Ihre Bank hat die gleiche Politik; Vielleicht möchten Sie Ihren Vertrag lesen oder überprüfen, um sicherzugehen. Mir wurde der Zugriff auf mein Konto nie verweigert, außer dass ich einmal eine der Ziffern vergessen und versucht habe, sie brutal zu erzwingen.

Es scheint eine schwache Sicherheit zu sein, aber in Wirklichkeit ist ein Brute-Force-Hack für das Online-Banking nicht möglich.

Banken verwenden sehr robuste Betrugserkennungssysteme und eine sehr strenge Überwachung. Im Gegensatz zu vielen anderen Online-Systemen, die lediglich eine zeitbasierte Sperrung verwenden, ist für die erneute Aktivierung der Kontosperrung in der Regel ein Telefonanruf erforderlich Sie können Post-Anfragen nicht einfach am Endpunkt auslösen und erwarten, dass sie funktionieren. Realistisch gesehen würden Sie sich auf das Hacken von Browser-Automatisierung beschränken, was die Dinge erheblich verlangsamt und eine viel komplexere Programmierung zum Einrichten erfordert. Viele Online-Banking-Websites verwenden auch zufällig generierte Tastaturen, sodass Ihr Automatisierungsskript OCR ausführen muss, um zu erkennen, welche Tasten gedrückt werden müssen.

In der Praxis ist die kurze Stiftlänge also nicht ganz die richtige Ein eklatanter Sicherheitsfehler, den andere vorschlagen.

Bei Brute Force werden Online-Konten normalerweise sowieso nicht kompromittiert. Phishing und Social Engineering sind die bevorzugten Methoden, und Pin-Länge / Komplexität helfen nicht, dies zu verhindern.

Wenn, wie Sie in den Anmerkungen angegeben haben:

Jemand, der mein Konto eingibt, kann immer noch keine Zahlung leisten, bevor er einen anderen Sicherheitsmechanismus durchläuft (von dem wir annehmen, dass er gut ist).

Dann ist es wahrscheinlich, dass das 6-stellige Passwort nur den Kontostand und den Verlauf schützt.

Zum Vergleich: Meine japanische Bank sendet mir meinen Kontoverlauf gedruckt in einer regulären Post. Mein Postfach ist ungeschützt und jeder kann den Brief abrufen.

Ein 6-stelliges Passwort (möglicherweise mit einem Wiederholungslimit und einer Zeitüberschreitung) scheint also eine Verbesserung zu sein.

Aus globaler Sicht ist es nicht sicher genug. Ich denke, dass das System versucht, sich mit einer Kennwortnummer bei 100000 Konten anzumelden. Warum sich viele Banken darauf verlassen, liegt über meinem Verständnis. Selbst das Anzeigen Ihres Kontos (ohne die Möglichkeit, Geld abzuheben) kann tatsächlich Schaden anrichten (Adresse, Ballance, ...).

Ein weiteres Problem besteht darin, dass das Sperren Ihres Kontos eine Art Social Engineering sein kann. Es sollte nicht möglich sein, ein anderes Konto durch Eingabe von 3/5 falschen Passwörtern zu sperren. Es wird nicht oft als solches verwendet, kann aber viel Schaden oder Unannehmlichkeiten verursachen. Denken Sie daran, dass jemand absichtlich das Konto eines anderen sperrt und ihn dann aus physischen Gründen "im Namen einer Bank" anruft. Oder nur um ihn zu ärgern (Online-Rache usw.)

Im Großen und Ganzen ist es möglicherweise sicherer .

Wenn wir Computerleute über Sicherheit sprechen, sprechen wir über ein bisschen Entropie, Hash-Algorithmen, Brute-Force-Versuche und dergleichen. Es ist leicht, eine einfache, unvermeidbare Regel zu vergessen. Leute sind dumm! All das geht aus dem Fenster, wenn ein Benutzer sein Passwort, seine PIN-Nummer und seine Sicherheitsfrage / -antwort auf ein Stück Papier schreibt, dieses Papier um seine Geldautomatenkarte wickelt und schiebt das Ganze in ihrer Brieftasche. (Oder setzen Sie ihr Passwort auf eine gelbe Haftnotiz unter dem Monitor.)

Die Verwendung eines einzelnen 6-stelligen Passworts in Verbindung mit einer Multi-Faktor-Authentifizierung und einer strengen Sperrrichtlinie ist wahrscheinlich viel besser Gesamtbild ", dann mehrere komplexere Passwörter.

Nehmen wir ein Beispiel:

Old Way :

Ein Benutzer richtet ein ihr Konto muss dann eine Karten-PIN wählen. Sie sollen eine Nummer verwenden, an die sie sich erinnern können. Die meisten Leute wählen ein Datum oder eine Kombination von Daten oder 1234.

Der Benutzer wird dann gebeten, eine "Sicherheitsfrage und -antwort" für den Anruf festzulegen. Sie wählen so etwas wie "Welche Grundschule haben Sie?" in die 5. Klasse gehen? "

Der Benutzer wird dann gebeten, ein sicheres Passwort auf der Website festzulegen, hasst diese Dinge jedoch, weil er sich nie wirklich an ein sicheres Passwort erinnern kann, also setzt er" sunsname123 @ "und das Der Kassierer schreibt es für sie auf und der Benutzer schiebt es in seine Brieftasche.

Dies ist eine ziemlich übliche Praxis. Pin-Nummern können herausgefunden werden, indem nur eine Teilmenge der Nummern, die möglicherweise ein gültiges Datum sind, in einigen Kombinationen überprüft werden muss. Die Sicherheitsfrage ist sinnlos, da sie öffentlich bekannt ist und das Passwort alle technischen Anforderungen oder ein "sicheres Passwort" erfüllt, jedoch nicht.

New Way :

Ein Benutzer richtet sein Konto ein und wird aufgefordert, eine 6-stellige Alles-PIN auszuwählen. Sie wählen immer noch eine basierend auf einem Datum.

Dem Benutzer wird dann geholfen, einen Multi-Faktor-Authentifikator zu installieren oder zu installieren (lassen Sie uns vorerst einen Schlüsselanhänger vortäuschen).

Jetzt unabhängig von der Transaktion, sei es am Geldautomaten oder in In der Filiale oder telefonisch können Sie das Bankpersonal und den Kunden anweisen, die PIN und den MFA-Code anzugeben / zu erhalten.

In der realen Welt ist dies wahrscheinlich weniger riskant als die weniger sicherheitsorientierten Personen Einmal in der Woche anrufen, weil sie ihr Passwort vergessen haben, die Antwort der Öffentlichkeit auf ihre Sicherheitsfrage geben, ihr Passwort zurücksetzen und es WIEDER aufschreiben und in ihre Brieftaschen stecken.

Fast, aber nicht ganz

Es ist "sicher genug" in dem Sinne, dass es auf den ersten Blick höchst unwahrscheinlich (nahezu unmöglich) ist, dass jemand überhaupt in Ihr Konto gelangt und auf Daten wie diese zugreifen kann wie z Ihr Kontostand und insofern es noch weniger wahrscheinlich ist (aufgrund der Zwei-Faktor-Authentifizierung), dass sie eine Transaktion durchführen können.

Es ist nicht sicher genug Da es trivial möglich ist, zufällige Kontonummern mit zufälligen PINs zu füttern (das genaue Format der Kontonummer einschließlich der Prüfziffern ist öffentlich bekannt, was den Suchraum stark einschränkt). Beachten Sie, dass Random-Random genau die Voraussetzung für das Geburtstagsparadoxon ist, sodass das Glück auf der Seite des Angreifers liegt.

Es sei denn, die Bank blockiert beim Auslösen der Sperrung nach IP-Adresse (unwahrscheinlich, aber dennoch trivial Führen Sie den Angriff über ein Botnetz aus.) Ihre strenge Sperrrichtlinie ist genau nichts gegen diesen Angriff wert. Sie können buchstäblich Zehntausende von Konto- / PIN-Kombinationen pro Sekunde testen.

Ja, es ist nicht möglich, Sie persönlich anzusprechen, und es ist immer noch mühsam, jemanden anzusprechen , aber das Anvisieren von jemandem ist praktisch nicht unmöglich. Es ist vollständig machbar , ohne in den Server einzudringen und die Kontodatenbank oder dergleichen zu stehlen.

Wenn Sie nun die Möglichkeit in Betracht ziehen, dass jemand Ihren Kontostand und Ihre persönlichen Daten vorliest und Ihr Einkommen als etwas kennt, mit dem Sie leben können (Sie haben nichts zu verbergen, oder?), ist dies dennoch eine besorgniserregende Sache

Sie wissen jetzt nicht nur, wer Sie sind und wo Sie leben (und ob es sich lohnt, Ihr Haus zu plündern oder Ihr Kind zu entführen), sondern es ist auch durchaus möglich, nur den Namen und den Vornamen des gültigen Kontoinhabers anzugeben Name sowie die Kontonummer für Lastschrift Sie.
Natürlich können Sie die Transaktion bestreiten - wenn Sie innerhalb von 4 Wochen davon erfahren. Aber wenn es Ihrer Aufmerksamkeit entgeht, ist es nur Pech für Sie. In beiden Fällen ist es eine Menge Ärger.

Ja, es ist in Ordnung, aber nur, wenn es Teil der Multi-Faktor-Authentifizierung * ist und ein System zur Überprüfung der Seitenkanäle bei Benutzeraktionen enthält **.

Alle weniger sicheren Lösungen sind meiner Meinung nach nicht ausreichend in einer modernen Internetbank und adressiert keine infizierten Computer, MIBs usw.

* Zum Beispiel müssen Sie über Ihr Mobiltelefon für den von Ihnen verwendeten Computer bürgen.

* * So wird jede Zahlungsaktion mit einem Code an Ihr Mobiltelefon gesendet, der auch Details zu der von Ihnen akzeptierten Zahlungsaktion enthält.