web-dev-qa-db-ja.com

なぜ多くの銀行が比較的弱い電子バンキングのセキュリティを持っているのですか?

私はいくつかのinfosec関連のTwitterパーソナリティをフォローしています。PaulMoore、Taylor Swift、Troy Huntが主な3人です。PaulMooreは現在銀行の切り替えを行っており、これらの銀行の安全性についてツイートやリツイートを頻繁に行っています。

  1. 狂ったように低いパスワード要件(許可された記号なし、短い最大長は最大2)。
  2. バギーTLS実装(Troy Huntの記事: http://www.troyhunt.com/2015/05/do-you-really-want-bank-grade-security.html )、多くの銀行Forward Secrecy、SHA-1、RC4、TLS 1.2などの失敗。
  3. 通常、パスワードをハッシュ化していないことを証明する奇妙なパスワード検証方法(パスワードから特定の2文字を要求するなど)。
  4. アカウントの資格情報を転送する奇妙な方法(TwitterでDMに質問する、または電話で新しい資格情報を提供する人をサポートするなど)。

すべての銀行がこれらの問題を抱えているわけではないことを理解しています(たとえば、ベルギーの銀行はパスワードをまったく使用せず、代わりにデビットカードのカードリーダーを介してEバンキングにアクセスする必要があり、それらのほとんどに適切なTLSがあります)。かなりの数の銀行がこれらの問題のうち少なくとも2つを抱えているように見えます。その間、私達は私達のお金でこれらの会社を信頼します。

なぜそれほど多くの銀行が上記の問題の1つ以上を抱えているのですか?一部はレガシー要件が原因であると認識していますが、すべてが古いインターフェースであるとは限りません。

tlspasswordsbanks
3
Nzall

基本的な理由は、これらのすべての問題にもかかわらず、市場の差別化要因となるのに十分な違反や盗難に定期的に苦しんでいないためです。

脆弱化したパスワードは、システムロックアウト、多要素認証、その他の侵入制御と組み合わせると、依然として顧客アカウントに対するほとんどのオンライン攻撃を防御します。銀行の顧客のパスワードのほとんどは、システムのトロイの木馬を通じて盗まれ、パスワードの強度に関係なく機能します。

同様に、SSL/TLS実装が弱い場合、攻撃者が限られた数(ネットワークアクセスや計算リソースなど)で、それを利用して顧客のアカウントやお金を盗むことができます。

結局のところ銀行はお金を稼ぐためにビジネスをしています。彼らは、損失や規制上の罰を回避するのに十分なセキュリティを実装することを目指しています。場合によっては、レガシーシステムで実行できることによって制限されることもありますが、あまり価値がないため、ほとんどの場合、セキュリティプラクティスの最先端にいることはありません。

これは、すべての銀行のセキュリティが必要な場所にあると言っているのではなく、問題を引き起こす領域を確保する傾向があり、問題が実際に発生して修正されるまで待つ場合があるというだけです。

10
PwdRsch

彼らにはそうする動機はほとんどありません。

  • 彼らは詐欺をカバーする保険契約を持っています。 Xホールを修正するコストが詐欺の損失よりも大きい場合、修正のモチベーションが高すぎない可能性があります。

  • これらのテクノロジー(Forward Secrecy、TLS 1.2など)をサポートすることを強制する法律はありません。

  • ユーザーからより良い方法へのプレッシャーがないため、ユーザーはいくつかの声を簡単に無視できます。

幸いにも、すべての銀行がそうであるとは限りませんが、なぜ一部の銀行がそのように行動するのかはよくわかります。

さらに、彼らの専門家がXを知らない/気にしない、または異なる意見を持っている可能性があります(セキュリティの分野では、いくつかの機能を検討する方法に違いがあります)機能)。

あなたが言及するポイントについて:

狂ったように低いパスワード要件(許可された記号なし、短い最大長は最大2)。

これは正当な私見ではありません。

バギーTLS実装(Troy Huntの記事: http://www.troyhunt.com/2015/05/do-you-really-want-bank-grade-security.html )、多くの銀行Forward Secrecy、SHA-1、RC4、TLS 1.2などの失敗。

銀行のような機関にとって、何かを更新することは本当に難しいです。彼らはoldバージョンを使用しており、新しいプロトコル(つまり、更新)をサポートすることは困難です。 (多くのテストと準備)

通常、パスワードをハッシュ化していないことを証明する奇妙なパスワード検証方法(パスワードから特定の2文字を要求するなど)。

うまく設計されていれば、これは必ずしも悪いことではありません。これにより、(通常はフィッシングを介して)要求を奪って攻撃者が完全な資格情報を取得できなくなります。ただし、CMSにはお勧めしません。

アカウントの資格情報を転送する奇妙な方法(TwitterでDMに質問する、または電話で新しい資格情報を提供する人をサポートするなど)。

それは確かに奇妙です。

1
Ángel

銀行は、創造性が報われる場所でも、変化が文化の一部である場所でもありません。さらに、金融業界は従業員を上手に扱うことでよく知られていないので、才能は去る傾向があります。

これらの理由により、銀行は恐竜のように機能します。彼らは革新する必要はないので、革新しません。

銀行業界も極秘で知られているため、侵害が発生しないことを確信できません。

1
Steve Sether