这与我认为是安全密码策略的做法大相径庭。另一方面,我相信我的银行会知道他们在做什么。
您能帮我了解这项政策有多好吗?
与普通银行相比该部门的做法。
从更一般的IT安全角度来看。
作为客户:我应该为自己的帐户容易被盗而担心多少?
注意:
用户名是身份证号,几乎是公开数据。
进入我的帐户的人仍无法通过另一种安全机制付款(我们将假定该机制为前提)变得更好)。
#1 楼
异常?是。疯?否。请继续阅读以了解原因...我希望您的银行具有强大的锁定策略,例如,三个不正确的登录尝试会将帐户锁定24小时。如果真是这样,那么6位数的PIN就不会像您想象的那样容易受到攻击。一年中每天尝试使用三个PIN的攻击者仍然只有0.1%的机会猜出PIN。
大多数网站(Facebook,Gmail等)使用电子邮件地址或用户选择的名称作为用户名,攻击者很容易猜出这些名称。此类站点通常具有更为宽松的锁定策略,例如,三个错误的登录锁定帐户的时间为60秒。如果他们拥有更强大的锁定策略,黑客可能会通过将合法人员锁定在他们的帐户之外而引起各种麻烦。需要使用宽松的锁定策略来确保帐户安全的原因是它们坚持使用强密码。
对于您的银行,用户名是一个16位数字-您的卡号。通常,您确实将卡号保密。当然,您可以将其用于卡交易(在线和离线),并且以明文形式存储在您的钱包中-但它是相当私人的。这样一来,银行就可以拥有更强大的锁定策略,而又不会使用户遭受拒绝服务攻击。
实际上,这种安排是安全的。如果您的室友找到您的卡,他们将无法访问您的帐户,因为他们不知道PIN码。如果某些黑客试图散布成千上万个帐户,则不会,因为他们不知道卡号。大多数帐户泄露都是由于网络钓鱼或恶意软件引起的,并且6位PIN码比很长且复杂的密码更不容易受到那些攻击。我怀疑您的银行与使用常规密码的其他银行相比,没有更多的日常安全问题。
您提到事务需要多因素身份验证。因此,PIN泄露的主要风险是,其他人可以查看您的私人银行详细信息。他们可以看到您的薪水,以及您的不可靠购买记录。少数人提到6位数PIN容易受到离线暴力攻击的攻击。因此,如果有人偷走了数据库,他们可能会破解您的哈希并获取您的PIN。虽然这是事实,但这并不重要。如果他们破解了您的PIN,则可以登录并查看您的银行历史记录-但无法进行交易。但是在这种情况下,他们仍然可以看到您的银行历史记录-他们已经窃取了数据库!
因此,虽然这种安排并不常见,但毕竟似乎并不那么疯狂。它可能带来的好处之一是,人们不会在其他站点上重复使用相同的密码。我怀疑他们是出于可用性的原因而这样做的-人们抱怨说他们忘记了该站点以前要求的冗长而复杂的密码。
评论
有权访问用户名列表的攻击者在尝试解锁100万用户后,平均可以进入3个帐户。那么,如果您的个人账户第一次尝试只有3/1000000的机会被解锁怎么办?当然,您不能容忍攻击者简单地解锁随机帐户有多么容易?
–完美主义者
16年5月31日在23:33
@perfectionist这是一个稻草人的论点。最有能力的银行可能采用基于IP的锁定方法,该方法可以阻止连续失败的登录过程中的非分布式攻击。能够访问一千个IP且每个IP不能登录10次的黑客,只有1%的机会随机访问一个帐户。此外,答案已经清楚地表明,其他因素(用户名)对于潜在的攻击者是未知的,因此您的情况不太可能。
–何三月
16-6-1,4:56
@MarchHo在这种情况下的机会是1%。基本上,拥有中型僵尸网络(或访问大学校园IT系统)的任何人都可以保证在短时间内入侵几个帐户。我不明白这是多么不明显。
–托马斯
16-6-1,6:02
@ paj28如果系统的安全性取决于未公开的“几乎公共数据”,则您的系统不安全。
–安德斯
16年6月1日在9:38
我会说的恰好相反:“不寻常?不。疯狂:是。”
– CodesInChaos
16年6月1日在16:40
#2 楼
6位数字密码的作用不大。为什么6位数字呢?
Troy Hunt有一个很棒的博客,关于被迫创建弱密码,其中他谈到了各种错误的密码。包括强迫使用短数字密码的做法,并提出了经常使用的借口
“我们希望允许人们在电话键盘上使用相同的密码”
要求输入数字唯一密码的唯一有效理由是,用户可用的唯一输入是数字(例如,使用ATM); (同样,要求人类可读密码的唯一有效理由是,人类会读取该密码-如果不仅将其用于电话银行,还将其用于网站,这将是一个非常糟糕的信号。)
但这是为什么,当您可以使用完整的qwerty键盘时,为什么他们会强迫您在线(或在手机上)使用相同的不安全密码?
多么容易
有106种可能的密码,包括6位数字。
对于不熟练的攻击者来说,只要拥有您的用户名和无限尝试次数。您应该假设他们拥有您的用户名。用户名不是秘密。
让我们假设银行已经想到了这一点,并在3次错误尝试后锁定了每个帐户,或者启动了一个验证码之类的机器人限制选项,然后再尝试。然后,攻击者仍有3/1000000的机会进入该窗口中的随机帐户。
这意味着,如果他们攻击1000000帐户,则可以预期进入3。
发出3000000个请求根本不会花很长时间。
比较一下有6个字母数字字符的密码(按大多数安全标准,太短了,不够复杂)。 >
有626 = 56800235584个可能的6个字符的字母数字密码。那仍然太弱了,但是已经强了56800倍!
安全存储吗?
不用说,如果违反了用户数据库,那么106个可能的密码的熵太低了,而无论他们使用了哪种哈希和盐分系统,都无法保证密码的安全。
如果发生数据库违规,您银行的计划大概会失败。也许他们认为结果是如此糟糕,以至于不打算为此计划。
假设其他身份验证方法是安全的,我应该担心吗?
攻击者看到了您的财务历史是一个非常大的问题;即使其他阻止传输的身份验证方法是安全的,也应该担心。而且您不应该期望其他方法是安全的。
如果没有第二种身份验证方法,还会泄漏出多少有关您的其他信息?您的姓名,地址,电子邮件,也许吗?
这些足以开始对您进行背景研究,获取更多信息-这些可能是您其他密码的线索,或者是关于如何仿冒您的好信息。他们可能会尝试致电给您,利用到目前为止所掌握的信息来赢得您的信任,假装成为银行,并通过一种诡计欺骗您,揭露有关您自己的其他秘密,您需要通过回答最后几个对他们进行身份验证进入您的帐户所需的问题。
再举一个例子,如果第二种身份验证方法是一个强密码,但是您(对大多数客户来说,“您”不是精通技术),但是该客户恰好曾经被包括在他们使用过的另一个网站的数据库漏洞中相同的用户名/电子邮件和密码,然后结束游戏。 -此逻辑适用于任何基于用户名/密码的系统,但在这种情况下尤其有用,因为攻击者能够发现第一种不安全的身份验证方法暴露的有关您的其他信息,并且因为第二个密码现在是唯一的障碍拿走你的钱-这就是为什么行业标准要求在向用户显示任何内容之前,在银行网站上要求进行2因素验证的原因之一。
我的银行没有最大长度密码,可以输入特殊字符,然后再输入第二个密码,该密码只能通过从一系列下拉菜单中选择一些字母来输入(因此,不会使用整个第二个密码
如果我的银行使用了带外第二身份验证因子,则我更希望这样做;例如将密码发送到我的手机。
评论
免责声明-不是安全专家。只是一个经常阅读有关安全性的常规开发人员。我在这里的大多数意见都得到了Troy Hunt的博客的支持。
–完美主义者
16年5月31日在14:37
如果是银行,则很可能是在使用HSM进行密码存储。除非他们在管理密码时犯了令人发指的错误,否则破坏加密(是加密而不是哈希)密码不会有太大帮助,因此您的部分答案可能不正确(或者至少您缺乏足够的信息来获取您得出的结论)
–罗里·麦库恩(Rory McCune)
16年6月1日在14:28
>如果发生数据库违规,您的银行的计划可能会失败。也许他们认为结果是如此糟糕,以至于他们不会为此计划。金融(和银行)都与风险管理有关。银行业是一个受到严格监管的行业(国际Basilea,SOX,国家法律和法规)。任何具有幼稚风险管理(例如“翻滚而哭泣”)的银行都不会被授权运营,更不用说在任何类型的审计中生存了(而且他们一直都在遭受审计)。
– Mindwin
16-6-1,17:42
@Mindwin想到这是一件很轻松的事,但是一旦您开始使用任何银行系统,所有的赌注都将消失。巴西最大的银行之一,拥有超强大的虚拟沙箱浏览器,客户可以访问他们的帐户。该银行的合作伙伴每天都会收到文本文件形式的数据库的部分副本。通过电子邮件。我曾经以开发人员的身份为他们做一份工作,之后我默默地将我的帐户转移到其他地方。
– T. Sar
16年6月3日在16:30
@ThalesPereira您的评论是恶意的。首先,缺乏道德,因为您不应该吸引客户。您没有说谁是您的客户,但是任何10岁的黑客都可以发现它(仅从您上面所说的内容,我可以将其范围缩小到两三个公司)。第二,银行数据库具有多个安全清除级别。通过电子邮件发送了哪些dabasase?他们是公开的还是半公开的?电子邮件附件安全吗?在不知道情况的情况下,您的评论将成为一项涂片运动。读者可能会误以为20国集团(G20)国家的整个银行体系都是垃圾。
– Mindwin
16年6月3日在16:41
#3 楼
原始答案这是一个糟糕的政策。只有106或一百万个不同的6位数字。太少了。
不管您使用的哈希算法多么慢,几乎都不可能阻止离线暴力攻击。如果一次尝试花费1秒钟,您将在11天内破解密码。如果攻击者可以使用多个IP(例如,控制一个僵尸网络)并具有许多不同的卡号进行尝试,则完全阻止聪明的在线暴力攻击也可能太少了。
此与普通密码一样,大多数人不会随机选择它们,这使情况变得更糟。
123456必然会出现很多,代表日期的数字也是如此。实际上,大多数密码的熵将少于6×log2(10)≈20位。我看不出为什么不应该允许您选择强度更高的密码。这种做法发出的信号是,他们根本不在乎安全性。这也让我怀疑在他们的数据库中某个地方有一个
NUMBER(6)而不是存储了哈希。如果没有其他身份验证因素就无法完成付款,这会令人感到放心,但是数量不多。攻击者仍然可以看到您的帐户历史记录,其中可能包含非常敏感的信息,还可以用于网络钓鱼。
即使这可能永远不会对您不利,如果我是您,我会考虑切换到新银行。最好是在登录时需要两步验证的人。
更多评论
评论中进行了一些讨论,并且弹出了一些关于另一种观点的好的答案,所以我将喜欢阐述和回应一些批评。
但是用户名是秘密的!
根据问题,身份证号(不要与信用卡号混淆)是“几乎公开的”,OP在评论中澄清说,他将其清单视为“公共部门服务的结果”。换句话说,用户名不是秘密的。而且它们不必一定是–如果系统的安全性取决于用户名是秘密的事实,则说明您做错了。
请注意每个帐户和/或IP号码的费率限制
例如,使用僵尸网络进行的分布式蛮力攻击将有相当大的机会打破一些帐户。假设您有一万台计算机,每台计算机每个月每天要使用不同的帐户测试3个密码。那是大约106次尝试。如果密码确实是随机的,那将平均为您提供一个帐户。在现实世界中,您将获得更多。
当然,从理论上讲,银行可以拥有一些先进的系统来检测和防御此类攻击。也许吧,也许不是。作为客户,我无从得知,并且我当然不信任甚至无法获得密码策略以进行更高级操作的组织。
脱机攻击是无关紧要的。如果密码丢失了,那么它们保护的敏感数据也会丢失。
也许没有。 Internet上有大量数据不完整的数据转储。声称密码将永远粘贴在您的帐户历史记录上,这使人们对入侵如何发生以及以后如何处理数据做出了非常强有力的假设。
您的信用卡PIN码只有四位数,所以没关系吗?
您的信用卡PIN是两因素身份验证中的一个薄弱环节。另一个因素–拥有卡–使系统更坚固。
此密码是一个较弱的因素,也是保护您的财务信息的唯一因素。
结论
明确地说,我并不是说银行不可能用其他手段来确保该系统的安全。我并不是说成功攻击任何人的帐户都是有可能的,尤其是您的帐户。我的意思是,这对于一家银行来说还不够“安全”。
该银行已经经历了为金融转帐设置两要素认证的麻烦。为什么不只将它也用于登录?
银行(希望)已经经历了散列密码并将其存储在数据库中的麻烦。为什么不只删除将密码限制为六位数的代码部分呢?
评论
也许银行以明文形式存储数据并限制密码长度以释放其HD空间。我知道这很荒谬,但是考虑到这是一个银行网站,其他可能的解释(纯粹的懒惰,错误的安全感等)至少同样荒谬。
– A.达尔文
16年5月31日在13:47
@ A.Darwin另一个简单的解释是,他们希望通过ATM或类似的输入受限系统使用相同的密码。尽管如此,还是很恐怖的。
–杰夫·梅登(Jeff Meden)
16年5月31日在14:07
@Anders任何一家银行无疑都将花费大量的精力和金钱来设计,实施和认证PIN存储系统。当出现在线银行业务时,没有人会想到一个完全不同的系统。他们将尽一切可能复制并确保两个系统同样安全。如果存在违反在线银行系统的情况,那么疏忽大意将使银行无法为自己辩护。
–billc.cn
16年5月31日在15:35
密码卡的风险不大,因为有人需要获取我的卡和密码,因此,只需获得我的密码就不那么麻烦了,然后再获得我的网上银行用户名和密码即可。
–伊恩·林格罗斯(Ian Ringrose)
16年5月31日在16:08
我喜欢您所说的“大多数人不会随机选择[密码]”的说法。人们选择6位数字这一事实增加了密码的弱点。尝试使用000000或其他常用密码时,猜测帐户正确密码的可能性可能会大于1/10 ^ 6。
–WillS
16年5月31日在23:48
#4 楼
相反的意见:当心您很有可能没有意识到您作为用户的银行在PIN之前已采取的其他安全措施。我知道,对于拥有类似4-6位数密码系统的CapitalOne360,我感到震惊!但是在同一台计算机上使用PIN一段时间后,我最终需要在另一台计算机(不同的IP,不同的浏览器)上登录。完成此操作后,它实际上要求我输入密码。不仅如此,然后在我成功输入密码后,它还要求我提供PIN作为奖励。
经过研究,我发现浏览器仅在用户首次访问该密码时才要求输入密码。网站并接收某种身份验证Cookie。一旦该计算机的IP / Cookie组合信任了该用户帐户,便可以进行无密码,仅PIN的登录。但是,当用户首次登录时,需要输入密码。您可能只是没有意识到这种做法(就像我以前一样)。
我发现,已经拥有有效工作密码系统的银行不可能完全将其仅用6位数字进行装箱PIN码。公司可能看起来很愚蠢,但是考虑到6位身份验证会破坏常识以及PCI标准,因此我真诚地怀疑这是目前唯一的身份验证。如果我错过了一些东西,也许原始的海报可以使这个问题更加生动。
评论
这很有趣。我将进一步调查...
–米卡
16年6月1日在6:37
+1;是的,其他安全措施(例如检查您登录的设备)可能会使它更安全。
–完美主义者
16年6月1日在9:12
但是,坚定的攻击者仍然可能在您不知情的情况下闯入您的帐户。他们只需要看着您输入密码,然后在离开时在与您所在的同一网络上自己进行操作即可。听起来很乏味且不太可能,但请考虑攻击者的动机就是银行帐户中的内容。假设您有至少$ 5,000,攻击者只需以类似的方式闯入9个以上的帐户,他们就有足够的钱来维持生活。找到目标就像将人们带出银行大楼一样简单。
–阴霾
16-6-1,13:10
#5 楼
6位数的数字密码足以安全用于网上银行吗?
不,不是,不仅仅是因为恶意用户有能力破坏这种身份验证机制,但因为它违反了PCI-DSS符合标准和FFIEC认证指南。此外,自2006年以来,FFIEC指南就一直要求进行多因素身份验证。
我敢肯定,您在检查网站时会遗漏某些东西-即,可能还有其他身份验证因素仅在某些情况下才起作用,例如如果您更改设备或IP地址。要么是,要么您实际上不是在写一个真正的在线银行网站,而是一个第三方财务帮助网站(如果您是我,我可能会停止使用它)。
评论
为了澄清非美国用户,我将修改您的回答,以说美国法律,而不只是法律。只是我的一点点生气。
–安德斯
16年6月1日在7:34
#6 楼
我要采取逆势立场,说是的,对于一家银行来说已经足够安全了。银行通常有很多钱可以从违规中恢复
在政府方面具有很大的影响力,可以避免集体诉讼(我来自加拿大,而且我们只有少数几家大型银行)
银行有很多客户,支持电话更少=更多钱他们的口袋
银行通常在旧的大型机上运行,更新成本很高
银行通常具有欺诈检测软件来分析所有交易
因此,这不是绝对安全的问题,这是这个密码政策是否能使利润最大化的问题。在大多数西方国家,法律都要求银行董事为股东带来最大利润。
从客户的角度来看:
我不建议尝试强行强制输入自己的密码,但是如果这样做,您(希望)会在3-5次尝试后注意到帐户锁定。这会降低暴力攻击的效率。
在我的银行中,如果我从以前未登录的计算机登录,会被询问安全问题。因此,黑客在另一台计算机上将不得不猜测密码,并知道安全问题的答案。
如果您是消费者,您的政府希望为消费者提供保护,从而在发生欺诈时退还您的资金。
评论
并不是说您错了,但是您也可以从客户的角度来看问题。使用不关心我的财务数据隐私的银行,是否可以最大化我的预期效用?
–安德斯
16年5月31日在19:32
@安德斯完全正确。该问题专门询问对客户的影响。这个答案没有解决
–尼尔·史密斯汀(Neil Smithline)
16年5月31日在19:41
@安德斯:就我的银行而言,我不担心我的财务数据的私密性,我担心我的钱。
– gnasher729
16年5月31日在19:46
关于“为股东带来最大利润”的说法完全是胡说八道,尤其是对于银行而言。有一些针对股东利益的非特定准则,但(A)在美国以外的地区通常涵盖所有股份持有人,(B)这是服从法律的第二条规定,(C)忽略业务连续性也是股东利益,最重要的是(D)有许多针对银行业的具体法律,专门要求银行为客户利益服务。特别是欧盟有广泛的消费者保护法。
– MSalters
16年6月1日14:05
#7 楼
与该行业的常规做法相比,您的情况并不罕见。我的银行有类似的政策,但有两个明显的区别:用户名不是我的卡号。我已收到一个受保护的信封,类似于他们用来发送我的PIN的信封。不过,这不是真正的秘密,它也可以在某些语句中找到。
我的密码是数字,最小值为6位(我相信最多为10位)。但是我还是使用6位数的密码。
3次登录尝试失败后,我的网上银行帐户也被锁定,因此我非常有信心它不会被强行使用。我想你的银行有同样的政策。您可能需要阅读合同或进行确认。我从来没有被拒绝访问过我的帐户,只是有一次我忘记了一位数字并试图对其进行暴力破解。
#8 楼
看起来安全性很弱,但实际上对于在线银行来说,强行破解是行不通的。银行使用非常强大的欺诈检测系统和非常严格的监控。帐户锁定通常需要电话才能重新激活,这与许多其他仅使用基于时间的锁定的在线系统不同。
几乎可以肯定的是,他们还将在登录表单中使用防伪令牌,因此,您不能简单地在端点上触发发布请求并期望它们能够正常工作。实际上,您将仅限于浏览器自动化骇客,这将大大降低速度,并需要更复杂的程序来设置。许多在线银行网站还使用随机生成的键盘,因此您的自动化脚本需要能够执行OCR来识别要按下的键。
因此,在实践中,短插针长度并不完全
暴力通常不是如何破坏在线帐户的。网络钓鱼和社会工程学是首选方法,并且引脚长度/复杂度不会帮助防止这种情况。
#9 楼
如果您在注释中指出:进入我的帐户的人仍无法在通过另一种安全机制(我们认为是好的)进行付款之前进行付款。 />
然后,可能只有6位数字密码保护的是帐户余额和历史记录。
作为比较:我的日本银行向我发送了我的帐户历史记录印刷,以普通邮件寄出。我的邮箱不受保护,任何人都可以检索该字母。
所以6位数的密码(可能有重试限制和超时)似乎是一种改进。
评论
当我需要与(英国)银行或信用卡公司的某个人交谈时,经常会要求我提供一些近期交易的金额和收款人作为安全措施的一部分,并要求提供其他信息,例如完整地址和日期出生因此,访问交易历史记录可以帮助攻击者进行``特权升级'',这样他们就可以例如进行转移或“确认”欺诈性交易。 (由于记忆力不足,我总是必须登录到相关网站以自行查找此信息。)
–nekomatic
16年6月1日在15:46
要窃取您的邮件,攻击者必须亲自出现在您的邮箱中。攻击者可以尝试从地球上的任何地方远程访问您的帐户。
–大卫·康拉德(David Conrad)
16年6月1日在18:33
@DavidConrad那又如何呢?这会影响感觉到的令人毛骨悚然的程度,但不会影响安全性。
– techraf
16年1月1日在22:31
增加潜在攻击者的数量会增加攻击的可能性。
–大卫·康拉德(David Conrad)
16年6月1日在23:29
所以呢?问题是(在条件允许的情况下)6位数密码如何“与常规做法相比”?我通过比较银行的惯例来回答。您的评论有什么补充吗?它批评吗?还是不相关?
– techraf
16-6-1,23:32
#10 楼
从全局的角度来看,这是不够安全的。我想让系统尝试使用一个密码登录到100000个帐户。
为什么很多银行都依赖它,这超出了我的理解。即使查看您的帐户(无法提取任何资金)实际上也会造成伤害(地址,余额等)。
另一个问题是,即使锁定帐户也可能是一种社会工程。不能通过输入3/5错误的密码来锁定其他人的帐户。它的用法不多,但会造成很大的伤害或不便。
考虑某人故意锁定他人的帐户,然后出于种种原因称他为“银行代表”。或者只是为了烦恼他(在线复仇等)
#11 楼
从总体上看,它实际上可能更安全。当我们的计算机人员谈论安全性时,我们谈论的是熵,哈希算法,蛮力尝试等。忘记一个简单的,不可避免的规则很容易。人很蠢!当用户在一张纸上写下他们的密码,密码和安全问题/答案,然后将这些纸包裹在ATM卡上,然后将所有东西都塞进钱包时,所有这些都消失了。 (或者将他们的密码放在显示器下方的黄色便笺上。)
使用单个6位数密码和多因素身份验证,强大的锁定策略可能会更好。 “大图”,然后输入几个更复杂的密码。
让我们举个例子:
老方法:
用户设置他们的帐户,然后必须选择一个卡针。他们被告知使用他们可以记住的数字。大多数人选择日期或日期组合或1234。
然后要求用户在拨打电话时为其设置“安全问题和答案”。他们选择诸如“小学做了什么”您要读五年级?“
然后要求用户在网站上设置安全密码,但是讨厌这些事情,因为他们永远无法真正记住安全密码,因此他们设置了“ sunsname123 @”然后柜员为他们写下来,然后用户将其塞进钱包。
这是非常标准的做法。只需几个组合,只需检查可能是有效日期的数字子集就可以弄清楚引脚号。安全问题是没有意义的,因为它是公共知识,并且密码符合所有技术要求或“安全密码”,但不是。
新方法:
用户设置他们的帐户,并被要求选择一个6位数的所有密码。他们仍然根据日期选择一个。
然后,帮助用户,确定或告诉用户安装多因素身份验证器(现在暂时假装密钥卡)。
现在无论是ATM还是在分支机构或通过电话,您可以指示银行工作人员和客户提供/接收PIN和MFA代码。
在现实世界中,这可能带来的风险较小,而安全性倾向较低的人们打电话给每周一次,因为他们忘记了密码,向公众提供了安全问题的答案,重置了密码并再次写下来并将其粘贴在钱包中。
#12 楼
几乎,但不是很完全。从某种意义上说,“乍看之下”某人根本不可能(几乎不可能)进入您的帐户并可以访问诸如您的帐户余额,以及(由于两因素身份验证)他们进行交易的可能性很小。由于提供随机帐号的可能性很小,因此它不够安全使用随机PIN码(包括支票号码的帐号的确切格式是众所周知的信息,这大大限制了搜索空间)。请注意,随机悖论是生日悖论的先决条件,所以运气就落在了攻击者的一面。
除非银行在触发锁定时按IP地址阻止(这不太可能,但即使如此,您也可以轻松进行攻击(来自僵尸网络)),强大的锁定策略对于抵抗这种攻击毫无价值。您每秒可以测试上万个帐户/ PIN组合。
是的,针对您个人是不可行的,而且针对某人仍然有点繁琐,但是针对某人实际上并不是不可能的,这完全可行
现在,如果您考虑有人可以读出您的帐户余额和个人数据,并且知道您的收入是可以生活的东西(您不知道,还有什么要隐瞒的吗?
他们不仅现在知道您的身份和住所(以及是否值得入室盗窃或绑架孩子),而且还知道完全有可能仅给出有效帐户持有人的姓名和名字以及直接向您借记的帐号。
果然,您可以对交易提出异议-如果您在4周内就意识到这一点。但是,如果它不引起您的注意,那对您来说就是不幸的。无论哪种情况,都麻烦很多。
#13 楼
是的,这是很好的,但前提是它是多因素身份验证的一部分,并且包括对用户操作进行侧通道验证的系统**。现代化的网上银行,不能处理受感染的计算机,MIB等。*例如,您必须通过移动电话为使用的计算机提供担保。
* *每个付款操作都会随代码一起发送到您的手机,其中还包含您接受的付款操作的详细信息。
评论
评论不作进一步讨论;此对话已移至聊天。许多银行使用4位数的密码
@LưuVĩnhPhúc但是该PIN通常仅在您拥有它附带的卡的情况下才有用,所以这实际上不是一种可比的情况。
我不明白为什么金融机构通常会要求最差(最不安全)的密码。限制密码长度,仅要求使用数字等。
我什至不担心这个密码有多长时间,但更多的是因为只有一个密码。在瑞士,我处理过的每家银行都拥有强大的2FA形式...我认为这是行业标准...