it-swarm-eu.dev

Ist eine passwortgeschützte PDF - Datei sicher für Kontoauszugsanhänge?

Meine Bank sendet mir meinen monatlichen Kontoauszug in einem passwortgeschützten Anhang per E-Mail. PDF Anhang. Ist dies eine sichere Methode, um etwas so Sensibles wie einen Kontoauszug zu übermitteln?

16
zundarz

Nein, die Verwendung einer passwortgeschützten PDF - Datei ist für vertrauliche Daten einfach nicht gut genug.

Wie andere bereits festgestellt haben, verwendet eine neuere Version des PDF -Standards viel bessere Verschlüsselungsmethoden als ursprünglich). Ein Kennwort für eine Datei (auch ein starkes) ist jedoch immer anfällig für Brute An diesem Punkt hoffen Sie nur, dass ihr Computer langsam genug ist, dass die Informationen zu dem Zeitpunkt, an dem sie Ihr (hoffentlich sicheres) Passwort knacken, irrelevant sind. Das sind viele 'hoffentlich-s'. Angenommen, monatliche Kontoauszüge und Bei einem Passwort mit weniger als 50 Zeichen klingt die Sicherheit Ihrer Dokumente fast lächerlich naiv.

Dies kann auch auf andere Weise ein Sicherheitsrisiko darstellen, je nachdem, woher die Bank das Passwort erhält. Ich kenne eine Bank, die etwas Ähnliches tut und Ihr Kontokennwort verwendet, um das Dokument zu verschlüsseln, sodass Sie sich nur ein Kennwort merken müssen. Dies bedeutet, dass sie Ihr Kontokennwort auf dem Server speichern. Es ist möglicherweise verschlüsselt und möglicherweise auch nicht, aber in beiden Fällen kann davon ausgegangen werden, dass jeder Angreifer, der es schafft, in Ihren Bankserver einzudringen und einen Datenbankspeicherauszug zu erhalten, jetzt über Ihr Kennwort verfügt. Es gibt keine Entschuldigung dafür, Passwörter als alles andere als gesalzene Hashes zu speichern (dieselbe Bank sendet Ihnen Ihr Passwort per E-Mail, wenn Sie es vergessen ... ja, in einer Klartext-E-Mail).

Wenn Sie können, rufen Sie Ihre Bank an und bitten Sie sie, Ihnen Ihre mit einem öffentlichen Schlüsselsystem verschlüsselten Kontoauszüge zu senden. PGP und S/MIME sind beide großartig und geben ein bisschen mehr Sicherheit in Ihre Hände (es wird Ihre Aufgabe sein) Schützen Sie Ihren privaten Schlüssel, nicht Ihre Banken.

Viele Banken bieten auch RSA-Token (oder eine gleichwertige Technologie) für relativ günstige Preise an. Obwohl es in letzter Zeit einige (schwerwiegende) Sicherheitsverletzungen bei RSA gegeben hat, ist dies immer noch eine großartige Ergänzung Ihrer Kontosicherheit, wenn Ihre Bank dies anbietet.

7
Sam Whited

Ich würde der Sicherheit nicht einmal fast vertrauen, selbst wenn sie nicht so wertvolle persönliche Informationen enthalten würde.

Der Verschlüsselungsstandard, den Adobe für die neuesten Versionen verwendet, ist überhaupt nicht schlecht, wie Graham erwähnte, aber das größere Problem ist die tatsächliche Implementierung. (Obwohl die Implementierung in Adobe 8 tatsächlich etwas besser war, obwohl es sich nur um eine 128-Bit-Verschlüsselung handelte, wie Adobe selbst zugab).

Elcomsoft vermarktet ein Produkt speziell für PDF Passwortvermeidung (nicht unbedingt Abrufen)), das nach Tests, die ich von Dritten (einschließlich CMU) gesehen habe, recht gut funktioniert.

Kombinieren Sie diese Tatsache mit der Möglichkeit, dass das Passwort selbst unsicher/leicht zu erraten ist, der Tatsache, dass es auf vorhersehbare Weise an ein Konto gesendet wird, das selbst kompromittiert werden könnte, und der Tatsache, dass sie irgendetwas über Sie darin speichern und das ist ein Rezept für eine Katastrophe/eine neue Bank/zumindest eine neue Politik für sie.

5
doyler

Ich denke, viele Banken betrachten monatliche Abrechnungen nicht als sehr "sensible Daten", soweit ich weiß, haben viele Banken eher niedrige Balken, wenn es um monatliche Abrechnungen geht.

Wie andere sagten, denke ich PDF Verschlüsselung ist nicht die beste,

2
Ali