it-swarm-eu.dev

Una password numerica a 6 cifre è abbastanza sicura per l'online banking?

Di recente la mia banca ha subito un'importante riprogettazione del sistema bancario online dei propri clienti. È stato inoltre rivisto il modo in cui la sicurezza viene gestita su tutta la piattaforma. La password che sono in grado di impostare ora per accedere è forzata a essere 6 cifre lunghe, numeriche.

Questo va molto lontano rispetto a quello che pensavo fosse una politica di password sicura . D'altro canto, mi fido che la mia banca sappia cosa stanno facendo.

Potresti aiutarmi a capire quanto è buona questa politica?

  • Rispetto alle pratiche comuni nel settore.
  • Da un punto di vista della sicurezza IT più generale.
  • Come cliente: quanto dovrei preoccuparmi che il mio account possa essere facilmente compromesso?

Note:

  • L'utente è il numero della carta d'identità, che è quasi dati pubblici.
  • Qualcuno che accede al mio account non è ancora in grado di effettuare un pagamento prima che passi attraverso un altro meccanismo di sicurezza (che considereremo valido).
96
mika

Insolito? Sì. Pazzo? No. Continua a leggere per capire perché ...

Mi aspetto che la tua banca abbia una forte politica di blocco, ad esempio tre tentativi di accesso errati bloccano l'account per 24 ore. In tal caso, un PIN a 6 cifre non è così vulnerabile come potresti pensare. Un utente malintenzionato che ha provato tre PIN ogni giorno per un anno intero, avrebbe ancora circa lo 0,1% di probabilità di indovinare il PIN.

La maggior parte dei siti Web (Facebook, Gmail, ecc.) Utilizza indirizzi e-mail o nomi selezionati dall'utente come nome utente e questi sono facilmente indovinabili dagli aggressori. Tali siti tendono ad avere una politica di blocco molto più rilassata, ad esempio tre blocchi di accesso errati per l'account per 60 secondi. Se avessero una politica di blocco più forte, gli hacker potrebbero causare tutti i tipi di problemi bloccando le persone legittime dai loro account. La necessità di proteggere gli account con una politica di blocco semplificata è il motivo per cui insistono su password complesse.

Nel caso della tua banca, il nome utente è un numero di 16 cifre, il numero della tua carta. In genere mantieni privato il numero della tua carta. Certo, lo usi per le transazioni con carta (online e offline) ed è nel tuo portafoglio in chiaro - ma è ragionevolmente privato. Ciò consente alla banca di avere una politica di blocco più forte senza esporre gli utenti agli attacchi denial of service.

In termini pratici, questa disposizione è sicura. Se il tuo coniuge trova la tua carta, non possono accedere al tuo account perché non conoscono il PIN. Se alcuni hacker cercano di hackerare in blocco migliaia di account, non possono perché non conoscono i numeri delle carte. La maggior parte dei compromessi dell'account si verificano a causa di phishing o malware e un PIN a 6 cifre non è più vulnerabile a quegli attacchi di una password molto lunga e complessa. Ho il sospetto che la tua banca non abbia più problemi di sicurezza quotidiani rispetto ad altre banche che usano password normali.

Lei afferma che le transazioni richiedono un'autenticazione a più fattori. Quindi il rischio principale di un compromesso PIN è che qualcuno possa visualizzare i dettagli del tuo private banking. Potrebbero vedere il tuo stipendio e la tua storia di acquisti ingannevoli. Alcune persone hanno affermato che un PIN a 6 cifre è banalmente vulnerabile a un attacco di forza bruta offline. Quindi, se qualcuno ha rubato il database, potrebbe rompere il tuo hash e ottenere il tuo PIN. Sebbene ciò sia vero, non ha molta importanza. Se hanno violato il tuo PIN potrebbero accedere e vedere la tua storia bancaria, ma non effettuare transazioni. Ma in quello scenario possono comunque vedere la tua storia bancaria - hanno già rubato il database!

Quindi, sebbene questa disposizione non sia tipica, sembra che dopo tutto non sia così folle. Un vantaggio che potrebbe avere è che le persone non riutilizzeranno la stessa password su altri siti. Sospetto che lo abbiano fatto per motivi di usabilità - le persone si sono lamentate di non ricordare le password lunghe e complesse richieste in precedenza dal sito.

65
paj28

Una password numerica a 6 cifre non fa molto.

Perché 6 cifre?

Troy Hunt ha un eccellente blog sull'essere forzato per creare password deboli in cui parla di varie cattive pratiche tra cui forzare brevi password numeriche e proporre la scusa spesso usata che

"Vogliamo consentire alle persone di utilizzare la stessa password sulla tastiera del telefono"

L'unico motivo valido per richiedere una password solo numerica è che l'unico input disponibile per un utente è numerico (ad es. Con bancomat); (allo stesso modo l'unico motivo valido per richiedere una password leggibile da un essere umano è che un essere umano la leggerà - il che sarebbe un brutto segno se non fosse usato solo per il telefono bancario, ma anche per il sito Web).

Ma se questo è il motivo, perché mai ti costringerebbero a usare lo stesso codice di accesso non sicuro online (o sul cellulare), quando hai accesso a una tastiera qwerty completa?

Quanto è facile forzare la forza bruta?

Ce ne sono 106 possibili password composte da 6 cifre.

Per un attaccante non qualificato, accedere al tuo account non è affatto un problema se hanno il tuo nome utente e tentativi illimitati. Dovresti presumere che abbiano il tuo nome utente. I nomi utente non sono segreti.

Supponiamo che la banca ci abbia pensato e blocchi ogni account dopo 3 tentativi errati, o forse avvii un'opzione di limitazione del robot come un captcha per riprovare dopo. Quindi l'attaccante ha ancora una probabilità di 3/1000000 di accedere a un account casuale all'interno di quella finestra.

Ciò significa che se attaccano 1000000 account, possono aspettarsi di entrare in 3. E fare 3000000 richieste non richiederebbe molto tempo.

Confrontalo con quante password ci sono con 6 caratteri alfanumerici (per la maggior parte degli standard di sicurezza, decisamente troppo brevi e non abbastanza complessi).

Sono 626 = 56800235584 possibili password alfnumeriche a 6 caratteri. Questo è ancora troppo debole ma è già 56800 volte più forte!

Memorizzato in modo sicuro?

Inutile dire che se il database utente è stato violato, 106 le possibili password sono un'entropia ridicolmente bassa e qualunque sia il sistema di hashing e salting che hanno usato, non possono proteggere il tuo passcode.

Il piano della tua banca in caso di violazione del database è presumibilmente di ribaltarsi e piangere. Forse pensano che il risultato sia così negativo che non hanno intenzione di pianificarlo.

Supponendo che l'altro metodo di autenticazione sia sicuro, dovrei preoccuparmi?

Un aggressore che vede la tua storia finanziaria è un grosso problema; dovresti essere preoccupato anche se l'altro metodo di autenticazione che blocca i trasferimenti è sicuro. E non dovresti aspettarti che l'altro metodo sia sicuro.

Quante altre informazioni vengono divulgate su di te senza il secondo metodo di autenticazione? Il tuo nome, indirizzo, e-mail, forse?

Questi sono più che sufficienti per iniziare a fare ricerche di base su di te, per ottenere informazioni aggiuntive: potrebbero essere indizi sull'altra tua password o buone informazioni su come phishing. Potrebbero provare a chiamarti, utilizzando le informazioni che hanno finora su di te per guadagnare la tua fiducia, fingendo di essere la banca e indurti a rivelare altri segreti su di te con uno stratagemma che devi autenticare rispondendo agli ultimi pochi domande di cui hanno bisogno per accedere al tuo account.

Come altro esempio, se il secondo metodo di autenticazione è una password forte , ma tu (e per la maggior parte dei clienti il ​​"tu" non è esperto di tecnologia) ma il cliente è mai stato mai incluso in una violazione del database per un altro sito Web in cui ha usato lo stesso nome utente/e-mail e password, quindi il gioco è finito. - Questa logica si applica a qualsiasi sistema basato su nome utente/password, ma è particolarmente rilevante in questo caso perché l'attaccante è in grado di scoprire altre informazioni su di te esposte dal primo metodo di autenticazione non sicuro e poiché la seconda password è ora il solo ostacolo al prelievo di denaro: questo è uno dei motivi per cui lo standard di settore richiede un'autenticazione a 2 fattori sui siti Web bancari prima mostrando all'utente qualsiasi cosa.

Per quanto riguarda gli standard del settore; la mia banca ha una password di lunghezza non massima con la possibilità di prendere caratteri speciali, e quindi seguirla con un secondo passcode che può essere inserito solo selezionando alcuni lettere di una serie di menu a discesa (quindi l'intero secondo passcode non viene utilizzato in un singolo tentativo).

Preferirei se la mia banca usasse un secondo fattore di autenticazione fuori banda; come un codice inviato al mio telefono.

68
perfectionist

Risposta originale

Questa è una cattiva, cattiva politica. Ce ne sono solo 106 o un milione di numeri di 6 cifre diversi. È troppo poco.

È quasi impossibile prevenire un attacco di forza bruta offline, indipendentemente da quanto lento usi un algoritmo di hash. Se un tentativo richiede 1 secondo, creerai una password tra 11 giorni. Potrebbe anche essere troppo poco per fermare completamente un attacco di forza bruta online intelligente, se l'attaccante può usare più IP (diciamo, dal controllo di una botnet) e ha molti numeri di carte diversi da provare.

Ciò è aggravato dal fatto che, proprio come con le password ordinarie, la maggior parte delle persone non le sceglie a caso . 123456 È destinato a comparire molto, così come i numeri che rappresentano le date. In pratica, la maggior parte delle password avrà un registro molto inferiore a 6 ×2(10) ≈ 20 bit di entropia.

Non vedo motivi per cui non dovresti essere autorizzato a scegliere una password più forte. Questa pratica invia il segnale che semplicemente non si preoccupano della sicurezza. Mi fa anche sospettare che da qualche parte nel loro database ci sia un NUMBER(6) invece di un hash memorizzato.

Che i pagamenti non possano essere effettuati senza un altro fattore di autenticazione è un po 'confortante, ma non molto. Un utente malintenzionato può comunque visualizzare la cronologia del tuo account, qualcosa che potrebbe contenere informazioni molto sensibili e può essere utilizzato anche per il phishing.

Anche se questo probabilmente non verrà mai usato contro di te, se fossi in te, prenderei in considerazione il passaggio a una nuova banca. Preferibilmente uno che richiede l'autenticazione a due fattori all'accesso.

Ulteriori commenti

C'è stata qualche discussione nei commenti e alcune buone risposte con un'altra opinione sono spuntate, quindi vorrei elaborare e rispondere ad alcune critiche.

Ma i nomi utente sono segreti!

Secondo la domanda, i numeri delle carte d'identità (da non confondere con i numeri delle carte di credito) sono "quasi pubblici" e OP ha chiarito nei commenti di aver visto le loro liste come "risultati per i servizi del settore pubblico". In altre parole, i nomi utente non sono segreti. E non dovrebbero esserlo - se la sicurezza del tuo sistema si basa sul fatto che i nomi utente sono segreti, stai sbagliando.

Il limite di velocità per account e/o numero IP si occuperà di questo.

Un attacco di forza bruta distribuita, ad esempio usando una botnet, avrebbe buone possibilità di infrangere alcuni account. Supponiamo che tu abbia 10.000 computer e ogni computer testa 3 password al giorno per un mese su account diversi. Sono circa 106 tentativi. Questo ti darà in media un account se le password sono veramente casuali. Nel mondo reale, otterrai molto, molto di più.

Certo, la banca potrebbe teoricamente avere un sistema sofisticato per rilevare e difendersi da attacchi come questo. Forse sì forse no. Come cliente, non ho modo di saperlo e certamente non mi fido di un'organizzazione che non può nemmeno ottenere la politica della password giusta per fare qualcosa di più avanzato.

Un attacco offline è irrilevante. Se le password sono fuori uso, lo sono anche i dati sensibili che stanno proteggendo.

Forse sì forse no. Esistono molti dump di dati che fluttuano su Internet con dati incompleti. Affermare che le password saranno incollate per sempre alla cronologia del tuo account fa alcune ipotesi molto forti su come è avvenuta la violazione e su come i dati sono stati successivamente gestiti.

La tua carta di credito PIN ha solo quattro cifre, quindi che importanza ha comunque?

La tua carta di credito PIN è un fattore debole in un'autenticazione a due fattori. L'altro fattore - il possesso della carta - rende il sistema più forte.

Questa password è un fattore debole ed è anche l'unico fattore che protegge le tue informazioni finanziarie.

Conclusione

Per essere chiari, non sto dicendo che sarebbe impossibile per una banca rendere sicuro questo sistema con altri mezzi. Non sto dicendo che un attacco riuscito all'account di qualcuno sia probabile, tanto meno al tuo in particolare. Quello che sto dicendo è che questo non è "abbastanza sicuro" per una banca.

La banca ha già attraversato il problema di impostare l'autenticazione a due fattori per i trasferimenti finanziari. Perché non usarlo anche per gli accessi?

La banca (si spera) ha già attraversato il problema di eseguire l'hashing di una password e archiviarla in un database. Perché non rimuovere semplicemente la parte del codice che limita la password a sei cifre?

17
Anders

Opinione contraria: attenzione

È molto probabile che tu come utente non sia stato messo al corrente di altre misure di sicurezza messe in atto dalla tua banca davanti a il tuo PIN. So che per CapitalOne360, che ha un sistema pin simile a 4 - 6 cifre, sono rimasto scioccato! Ma dopo un po 'di utilizzo di PIN sullo stesso computer, ho finalmente avuto bisogno di accedere su una macchina alternativa (IP diverso, browser diverso). Quando l'ho fatto, mi aveva effettivamente chiesto per un password. Non solo, ma dopo aver inserito con successo la password mi ha anche richiesto il mio PIN come bonus.

Dopo alcune ricerche, ho scoperto che il browser richiede una password solo quando l'utente visita il sito Web per la prima volta e riceve una sorta di cookie di autenticazione. Una volta che l'account utente è attendibile sulla combinazione IP/Cookie di quella macchina, consente quindi l'accesso senza password e solo PIN. Ma la prima volta che l'utente accede, SONO richiesti per inserire una password. Potresti non essere a conoscenza della pratica ( come ero ).

Trovo incredibilmente improbabile che una banca che abbia già un sistema di password funzionante funzionerebbe completamente per un solo numero di 6 cifre, numerico PIN numero. Le aziende possono forse sembrare stupide, ma considerando che un L'autenticazione a 6 cifre rompe il buon senso, così come gli standard PCI, dubito sinceramente che questa sia l'unica autenticazione presente, forse il poster originale può far luce su questo nel caso in cui avessi perso qualcosa.

8
duper51

Una password numerica a 6 cifre è abbastanza sicura per l'online banking?

No, non è solo per la capacità di un utente malintenzionato di violare tale meccanismo di autenticazione, ma perché viola gli standard di conformità PCI-DSS e guida FFIEC su autenticazione. Inoltre, è stata richiesta l'autenticazione a più fattori dalla guida FFIEC dal 2006 .

Sono abbastanza sicuro che manchi qualcosa nell'esame del tuo sito Web, ad esempio potrebbero esserci ulteriori fattori di autenticazione che si verificano solo in determinate circostanze, ad es. se si modifica il dispositivo o l'indirizzo IP. O quello, o in realtà non stai scrivendo su un vero sito web di banking online, ma su un sito di assistenza finanziaria di terze parti (che probabilmente smetterei di usare se fossi in te).

6
John Wu

Prenderò una posizione contrarian e dirò di sì, è abbastanza sicuro, per una banca.

  1. Le banche di solito hanno molti soldi da recuperare dalle violazioni
  2. Le banche di solito hanno molta influenza sul governo e possono evitare azioni legali (vengo dal Canada e abbiamo solo poche grandi banche)
  3. Le banche hanno molti clienti e meno chiamate di supporto = più soldi in tasca
  4. Le banche di solito funzionano con vecchi mainframe, che sono costosi da aggiornare
  5. Le banche di solito dispongono di un software di rilevamento delle frodi che analizza tutte le transazioni

Quindi, non è una questione di sicurezza assoluta, si tratta di stabilire se questa politica di password massimizza i profitti. Nella maggior parte dei paesi occidentali, gli amministratori della banca sono legalmente tenuti a massimizzare il profitto per gli azionisti.

Dal punto di vista del cliente:

Non consiglio di provare a forzare la tua password, ma se lo facessi, noterai (si spera) un blocco dell'account dopo 3-5 tentativi. Ciò riduce l'efficacia degli attacchi di forza bruta.

Con la mia banca, mi vengono poste domande di sicurezza se eseguo l'accesso da un computer con cui non ho effettuato l'accesso prima. Quindi un hacker, su un altro computer, dovrebbe indovinare la password e conoscere la risposta alla domanda di sicurezza.

Se sei un consumatore, si spera che il tuo governo fornisca protezione dei consumatori con conseguente ritorno dei tuoi soldi in caso di frode.

5
Neil McGuigan

Rispetto alle pratiche comuni nel settore, le tue condizioni non sono così insolite. La mia banca ha politiche simili, con due differenze notevoli:

  • il nome utente NON è il mio numero di carta. L'ho ricevuto per posta in una busta protetta, simile a quella usata per inviare il mio PIN. Tuttavia, non è un vero segreto, lo si può trovare anche in alcune dichiarazioni.

  • la mia password è numerica con 6 cifre MINIME (credo fino a 10 cifre). Ma utilizzo comunque un pin a 6 cifre.

Anche il mio conto bancario online viene bloccato dopo 3 tentativi di accesso non riusciti, quindi sono abbastanza sicuro che non sarà forzato. Suppongo che la tua banca abbia la stessa politica; potresti voler leggere il tuo contratto o verificare per essere sicuro. Non mi è mai stato negato l'accesso al mio account, tranne che una volta ho dimenticato una delle cifre e ho provato a forzarlo.

4
Dmitry Grigoryev

Sembra una sicurezza debole, ma in realtà un attacco di forza bruta non è fattibile per l'online banking.

Le banche utilizzano sistemi di rilevazione delle frodi molto solidi e un monitoraggio molto rigoroso. Il blocco dell'account richiede in genere una riattivazione telefonica, a differenza di molti altri sistemi online che utilizzano semplicemente un blocco basato sul tempo.

Quasi sicuramente useranno anche i token anti-contraffazione nel modulo di login, quindi non puoi semplicemente lanciare richieste post sull'end-point e aspettarti che funzionino. Realisticamente saresti limitato all'hacking di automazione del browser, che rallenterà notevolmente le cose e richiederà un'impostazione molto più complessa da configurare. Molti siti di servizi bancari online utilizzano anche tastiere generate casualmente, quindi lo script di automazione dovrebbe essere in grado di eseguire l'OCR per riconoscere quali tasti premere.

Quindi, in pratica, la breve lunghezza del perno non è proprio l'evidente fallimento della sicurezza che altri stanno suggerendo.

La forza bruta in genere non è comunque il modo in cui gli account online sono compromessi. Il phishing e il social engineering sono i metodi preferiti e la lunghezza/complessità dei pin non aiuta a prevenirlo.

3
user1751825

Se come indicato nelle note:

Qualcuno che accede al mio account non è ancora in grado di effettuare un pagamento prima che passi attraverso un altro meccanismo di sicurezza (che considereremo valido).

Quindi è probabile che l'unica cosa protetta dalla password di 6 cifre sia il saldo e la cronologia dell'account.

Per fare un confronto: la mia banca giapponese mi invia la cronologia del mio account stampata, in una normale posta. La mia casella di posta non è protetta e chiunque può recuperare la lettera.

Quindi una password di 6 cifre (possibilmente con un limite di tentativi e timeout) sembra un miglioramento.

2
techraf

Quasi, ma non del tutto

È "abbastanza sicuro", nel senso che a prima vista è altamente improbabile (quasi impossibile) che qualcuno entri nel tuo account e possa accedere a dati come ad es. il saldo del tuo account e nella misura in cui è ancora meno probabile (a causa di un'autorizzazione a due fattori) che saranno in grado di effettuare una transazione.

È non abbastanza sicuro in quanto è banalmente possibile alimentare numeri di conto casuali con PIN casuali (il formato esatto del numero di conto, comprese le cifre di controllo, è un'informazione di dominio pubblico, ciò limita notevolmente lo spazio di ricerca). Nota come random-random è proprio quello che è il presupposto per il paradosso del compleanno, quindi la fortuna è dalla parte dell'attaccante.

A meno che la banca non si blocchi per indirizzo IP quando si attiva il blocco (improbabile, ma anche così puoi eseguire banalmente l'attacco da una botnet), la loro politica di blocco forte vale esattamente nulla contro questo attacco. Puoi testare letteralmente diecimila combinazioni di account/PIN al secondo.

Sì, non è possibile scegliere come target personalmente , ed è ancora noioso scegliere come target qualcuno , ma il targeting qualcuno non è praticamente impossibile, è interamente realizzabile senza nemmeno entrare nel server e rubare il database degli account o simili.

Ora, se consideri la possibilità che qualcuno legga il tuo saldo del conto e i dati personali e conosca le tue entrate come qualcosa con cui puoi vivere (non hai nulla da nascondere, vero!), Questa è comunque una cosa preoccupante.

Non solo ora sanno chi sei e dove vivi (e se vale la pena svaligiare la tua casa o rapire tuo figlio), ma è anche del tutto possibile dato solo il nome e il nome del titolare del conto valido e il numero di conto a addebito diretto tu.
Abbastanza sicuro, puoi contestare la transazione - se ti accorgi entro 4 settimane. Ma se sfugge alla tua attenzione, è solo sfortuna per te. In entrambi i casi, ci sono molti problemi.

1
Damon

In generale, potrebbe effettivamente essere altro sicuro.

Quando i computer parlano di sicurezza, parliamo di un po 'di entropia, algoritmi di hash, tentativi di forza bruta e simili. È facile dimenticare una regola semplice, inevitabile. Le persone sono stupide! Tutto ciò esce dalla finestra quando un utente annota la propria password, numero PIN e domanda/risposta di sicurezza su un pezzo di carta , avvolge quella carta attorno alla loro carta bancomat e mette tutto nel portafoglio. (Oppure inserisce la password su una nota adesiva gialla sotto il monitor.)

L'uso di un'unica password di 6 cifre, in combinazione con l'autenticazione a più fattori e una forte politica di blocco è probabilmente molto meglio "in generale", quindi diverse password più complesse.

Facciamo un esempio:

Old Way:

Un utente imposta il proprio account, quindi deve scegliere un pin della carta. Gli viene detto di usare un numero che possono ricordare. Molte persone scelgono una data o una combinazione di date o 1234.

All'utente viene quindi chiesto di impostare una "domanda e risposta di sicurezza" per quando chiamano. Scelgono qualcosa del tipo "A quale scuola elementare hai frequentato in quinta elementare?"

All'utente viene quindi chiesto di impostare una password sicura sul sito Web, ma odia queste cose perché non riesce mai a ricordare una password sicura, quindi imposta "sunsname123 @" e il cassiere lo scrive per loro e l'utente lo inserisce nel proprio portafoglio.

Questa è una pratica piuttosto standard. I numeri di pin possono essere calcolati solo bisogno di controllare un sottoinsieme dei numeri che potrebbero essere una data valida, in alcune combinazioni. La domanda di sicurezza è inutile, in quanto conoscenza pubblica, e la password soddisfa tutti i requisiti tecnici o una "password sicura" ma non lo è.

New Way:

Un utente configura il proprio account e gli viene chiesto di scegliere un pin tutto a 6 cifre. Ne scelgono ancora uno in base a una data.

L'utente viene quindi aiutato con, di dare o detto di installare un autenticatore a più fattori (facciamo finta di avere un portachiavi per ora).

Ora, indipendentemente dalla transazione, che si tratti di bancomat o in filiale o per telefono, puoi incaricare il personale della banca e il cliente di fornire/ricevere il PIN e il codice MFA.

Nel mondo reale questo probabilmente presenta meno rischi rispetto alle persone meno inclini alla sicurezza che chiamano una volta alla settimana perché hanno dimenticato la password, fornendo al pubblico la risposta alla loro domanda di sicurezza, reimpostando la password e scrivendola ANCORA e attaccandola nei portafogli .

1
coteyr

non è abbastanza sicuro dal punto di vista globale. Pensa di avere un sistema che tenta di accedere a 100000 account, utilizzando un numero di password. Perché molte banche si basano su di esso, è al di sopra della mia comprensione. Anche la visualizzazione del tuo account (senza possibilità di prelevare denaro) può effettivamente causare danni (indirizzo, ballance, ...).

Un altro problema è che anche bloccare il tuo account può essere una specie di ingegneria sociale. Non dovrebbe essere possibile bloccare l'account di qualcun altro digitando 3/5 password errate. Non viene usato molto come tale, ma può causare molti danni o inconvenienti. Pensa a qualcuno che blocca di proposito il conto di un altro, e poi lo chiama "per conto bancario" per motivi fisici. O semplicemente per farlo arrabbiare (vendetta online ecc.)

1
FKh

Sì, va bene, ma solo se fa parte dell'autenticazione a più fattori * e include un sistema di verifica del canale laterale sulle azioni dell'utente **.

A mio avviso, tutte le soluzioni meno sicure non sono adeguate in una moderna banca Internet e non si rivolgono a computer infetti, MIB ecc.

* Ad esempio, devi garantire per il computer che stai utilizzando, tramite il tuo cellulare.

** Ad esempio, ogni azione di pagamento viene inviata con un codice sul telefono cellulare che include anche i dettagli sull'azione di pagamento che stai accettando.

0
Simply G.