it-swarm-eu.dev

Je heslo chráněné PDF soubor bezpečný pro přílohy bankovních výpisů?

Moje banka mi e-mailem zasílá měsíční výpis v příloze chráněné heslem PDF) Je to bezpečný způsob přenosu něčeho tak citlivého jako bankovní výpis?

16
zundarz

Ne, použití chráněného hesla PDF není pro citlivé údaje jednoduše dost dobré).

Jak již uvedli ostatní, novější verze standardu PDF) používá mnohem lepší metody šifrování než původně, avšak heslo v souboru (i silné) bude vždy citlivé na hrubou v tuto chvíli jen doufáte, že jejich počítač je dostatečně pomalý, že v okamžiku, kdy si prolomí vaše (doufejme silné) heslo, jsou informace irelevantní. To je spousta „doufejme“. heslo do 50 znaků, zabezpečení vašich dokumentů začíná znít téměř směšně naivně.

To by také mohlo vytvořit bezpečnostní riziko jinými způsoby v závislosti na tom, kde banka obdrží heslo. Vím o bance, která dělá něco podobného a používá k šifrování dokumentu heslo vašeho účtu, takže si musíte pamatovat pouze jedno heslo. To znamená, že ukládají heslo vašeho účtu na server. Může to být šifrované a nemusí to být, ale v každém případě je pravděpodobně bezpečné předpokládat, že každý útočník, který dokáže proniknout na váš bankovní server a získat výpis z databáze, má nyní vaše heslo. Neexistuje žádná omluva pro ukládání hesel jako cokoli jiného než solené hashe (stejná banka vám pošle vaše heslo, pokud na to zapomenete ... yup, v obyčejném e-mailu).

Pokud je to možné, zavolejte do své banky a požádejte je, aby vám začala zasílat vaše výpisy zašifrované pomocí systému veřejného klíče. PGP a S/MIME jsou skvělé, a vloží do vašich rukou trochu větší bezpečnosti (bude to vaše práce ochraňte svůj soukromý klíč, nikoli své banky).

Mnoho bank také poskytuje tokeny RSA (nebo ekvivalentní technologii) za relativně levné. Přestože v poslední době došlo k určitému (závažnému) narušení bezpečnosti, zejména pokud jde o RSA, je to stále skvělý doplněk k zabezpečení vašeho účtu, pokud to vaše banka nabízí.

7
Sam Whited

Tomu bezpečí bych ani nevěřil, i kdyby v něm neměly takové cenné osobní informace.

Šifrovací standard, který Adobe používá pro nejnovější verze, není vůbec špatný, jak Graham zmínil, ale větší problém je jeho skutečná implementace. (Ačkoli implementace v Adobe 8 byla ve skutečnosti o něco lepší, i když šlo pouze o 128bitové šifrování, jak sám Adobe dokonce připustil).

Elcomsoft uvádí na trh produkt speciálně proPDF vyhýbání se heslu (nemusí se nutně získat), který funguje docela dobře podle testů, které jsem viděl třetími stranami (včetně CMU).

Kombinace této skutečnosti s možností, že samotné heslo může být nezabezpečené/snadno odhadnutelné, skutečnost, že je zasláno předvídatelným způsobem na účet, který by mohl být sám kompromitován, a skutečnost, že v něm ukládají cokoli o vás a to je recept na katastrofu/nová banka/nová politika pro ně přinejmenším.

5
doyler

Myslím, že mnoho bank nepovažuje měsíční výpisy za velmi „citlivá data“, pokud vím, že spousta bank má poměrně nízké sloupce, pokud jde o měsíční výpisy.

Jak říkali ostatní, myslím, že šifrování PDF šifrování není nejlepší,

2
Ali