it-swarm-eu.dev

Una password è protetta PDF è sicuro per gli allegati degli estratti conto bancari?

La mia banca mi invia per e-mail il mio estratto conto mensile in una password protetta PDF. È un metodo sicuro per trasmettere qualcosa di sensibile come un estratto conto?

16
zundarz

No, l'uso di una password protetta PDF non è semplicemente abbastanza buono per i dati sensibili.

Come altri hanno già affermato, la versione più recente dello PDF standard utilizza metodi di crittografia molto migliori rispetto a quelli originari, tuttavia, una password su un file (anche forte) sarà sempre suscettibile di brutale forzare gli attacchi. A questo punto speri solo che il loro computer sia abbastanza lento che, quando rompono la tua password (si spera forte), le informazioni sono irrilevanti. Sono un sacco di "si spera". Supponendo estratti conto mensili e una password di 50 caratteri, la sicurezza dei tuoi documenti inizia a sembrare quasi ridicola e ingenua.

Ciò potrebbe anche creare un rischio per la sicurezza in altri modi a seconda di dove la banca ottiene la password. Conosco una banca che fa qualcosa di simile a questo e usa la password del tuo account per crittografare il documento, in modo da ricordare solo una password. Ciò significa che stanno memorizzando la password del tuo account sul server. Potrebbe essere crittografato e potrebbe non esserlo, ma in entrambi i casi è probabilmente lecito ritenere che qualsiasi utente malintenzionato che riesce a penetrare nel tuo server di banche e ottenere un dump del database ora ha la tua password. Non ci sono scuse per salvare le password se non come hash salati (la stessa banca ti invia la tua password se la dimentichi ... sì, in una e-mail in chiaro).

Se possibile, chiama la tua banca e chiedi loro di iniziare a inviarti i tuoi estratti conto crittografati utilizzando un sistema di chiave pubblica. PGP e S/MIME sono entrambi fantastici e ti porteranno un po 'più di sicurezza (sarà il tuo compito proteggere la tua chiave privata, non le tue banche).

Molte banche forniscono anche token RSA (o tecnologia equivalente) a costi relativamente bassi. Sebbene negli ultimi tempi si siano verificate alcune (gravi) violazioni della sicurezza con RSA, questa è comunque un'ottima aggiunta alla sicurezza del tuo account se la tua banca lo offre.

7
Sam Whited

Non mi fiderei quasi nemmeno della sua sicurezza, anche se non contenesse informazioni personali così preziose.

Lo standard di crittografia che Adobe utilizza per le versioni più recenti non è affatto male come menzionato da Graham, ma i problemi maggiori sono la sua effettiva implementazione. (Sebbene l'implementazione in Adobe 8 sia stata in realtà un po 'migliore anche se era solo la crittografia a 128 bit come Adobe stesso ha persino ammesso).

Elcomsoft commercializza un prodotto appositamente per PDF evitamento della password (non necessariamente recupero) che funziona abbastanza bene secondo i test che ho visto da terze parti (inclusa la CMU).

Combinando questo fatto con la possibilità che la password stessa possa essere insicura/facilmente indovinabile, il fatto che sia inviato in modo prevedibile a un account che potrebbe essere compromesso e il fatto che archiviano qualcosa di te in esso e questo è un ricetta per il disastro/una nuova banca/almeno una nuova politica per loro.

5
doyler

Immagino che molte banche non considerino gli estratti mensili come "dati sensibili", per quanto ne so che molte banche hanno limiti piuttosto bassi quando si tratta di estratti mensili.

Come altri hanno detto, penso PDF non è la migliore,

2
Ali