Un mot de passe numérique à 6 chiffres est-il suffisamment sécurisé pour les opérations bancaires en ligne?

Un mot de passe numérique à 6 chiffres ne fait pas grand-chose.

Pourquoi 6 chiffres?

Troy Hunt a un excellent blog sur le fait d'être forcé pour créer des mots de passe faibles où il parle de diverses mauvaises pratiques, y compris le forçage de mots de passe numériques courts et met en avant l'excuse souvent utilisée qui

"Nous voulons permettre aux gens d'utiliser le même mot de passe sur le clavier du téléphone"

La seule raison valable pour exiger un mot de passe uniquement numérique est que la seule entrée disponible pour un utilisateur est numérique (par exemple avec les distributeurs automatiques de billets); (de même, la seule raison valable pour exiger un mot de passe lisible par l'homme est qu'un humain le lira - ce qui serait un très mauvais signe s'il n'était pas utilisé juste pour les services bancaires par téléphone, mais aussi pour le site Web).

Mais si c'est la raison, pourquoi diable vous forcerait-il à utiliser le même code d'accès non sécurisé en ligne (ou sur mobile), lorsque vous avez accès à un clavier qwerty complet?

Est-il facile de forcer brutalement l'entrée?

Il y a 10⁶ mots de passe possibles composés de 6 chiffres.

Pour un attaquant non qualifié, accéder à votre compte ne pose aucun problème s'il a votre nom d'utilisateur et des tentatives illimitées. Vous devez supposer qu'ils ont votre nom d'utilisateur. Les noms d'utilisateur ne sont pas des secrets.

Supposons peut-être que la banque y pense et verrouille chaque compte après 3 mauvais essais, ou peut-être lance une option de limitation de robot comme un captcha pour réessayer après cela. Ensuite, l'attaquant a encore 3/1000000 de chances d'accéder à un compte aléatoire dans cette fenêtre.

Cela signifie que s'ils attaquent 1000000 comptes, ils peuvent s'attendre à en avoir 3. Et faire 3000000 demandes ne prendrait pas très longtemps.

Comparez cela au nombre de mots de passe comportant 6 caractères alphanumériques (selon la plupart des normes de sécurité, beaucoup trop courts et pas assez complexes).

Il y a 62⁶ = 56800235584 mots de passe alphnumériques possibles à 6 caractères. C'est encore trop faible mais c'est déjà 56800 fois plus fort!

Stocké en toute sécurité?

Inutile de dire que si la base de données des utilisateurs a été violée, 10⁶ les mots de passe possibles sont une entropie ridiculement faible, et quel que soit le système de hachage et de salage qu'ils ont utilisé, ils ne peuvent pas sécuriser votre mot de passe.

Le plan de votre banque en cas de violation de la base de données est probablement de se retourner et de pleurer. Peut-être qu'ils pensent que le résultat est si mauvais qu'ils ne vont tout simplement pas le planifier.

En supposant que l'autre méthode d'authentification est sécurisée, dois-je m'inquiéter?

Un attaquant qui voit votre historique financier est un très gros problème; vous devriez être inquiet même si l'autre méthode d'authentification bloquant les transferts est sécurisée. Et vous ne devez pas vous attendre à ce que l'autre méthode soit sécurisée.

Combien d'autres informations sont divulguées à votre sujet sans la deuxième méthode d'authentification? Votre nom, adresse, email, peut-être?

Ce sont plus que suffisants pour commencer à faire des recherches sur vous, pour obtenir des informations supplémentaires - cela pourrait être des indices sur votre autre mot de passe ou de bonnes informations solides sur la façon de vous hameçonner. Ils pourraient essayer de vous appeler, en utilisant les informations qu'ils ont sur vous jusqu'à présent pour gagner votre confiance, en faisant semblant d'être la banque, et vous inciter à révéler d'autres secrets sur vous sous une ruse que vous devez vous authentifier en répondant aux dernières questions dont ils ont besoin pour accéder à votre compte.

Comme autre exemple, si la deuxième méthode d'authentification est un mot de passe fort , mais vous (et pour la plupart des clients le "vous" n'est pas un technophile) mais le client se trouve avoir jamais été inclus dans une violation de base de données pour un autre site Web où ils ont utilisé le même nom d'utilisateur/e-mail et mot de passe, puis son jeu est terminé. - Cette logique s'applique à tout système basé sur un nom d'utilisateur/mot de passe, mais est particulièrement pertinente dans ce cas parce que l'attaquant est en mesure de découvrir d'autres informations vous concernant exposées par la première méthode d'authentification non sécurisée, et parce que le deuxième mot de passe est maintenant le seulement obstacle à leur prise de votre argent - c'est l'une des raisons pour lesquelles la norme de l'industrie est d'exiger une authentification à 2 facteurs sur les sites Web bancaires avant montrant quoi que ce soit à l'utilisateur.

Quant aux normes de l'industrie; ma banque a un mot de passe sans longueur maximale avec la possibilité de prendre des caractères spéciaux, puis de le suivre avec un deuxième mot de passe qui ne peut être entré qu'en sélectionnant certains lettres d'une série de listes déroulantes (de sorte que l'intégralité du 2e mot de passe n'est pas utilisé en une seule fois).

Je préférerais que ma banque utilise un deuxième facteur d'authentification hors bande; comme l'envoi d'un code sur mon téléphone.

Réponse originale

C'est une mauvaise, mauvaise politique. Il y a seulement 10⁶ ou un million de numéros à 6 chiffres différents. C'est trop peu.

Il est presque impossible d'empêcher une attaque par force brute hors ligne, quelle que soit la lenteur d'un algorithme de hachage que vous utilisez. Si une tentative prend 1 seconde, vous craquerez un mot de passe en 11 jours. Il peut également être trop peu pour arrêter complètement une attaque par force brute en ligne intelligente, si l'attaquant peut utiliser plusieurs adresses IP (par exemple, pour contrôler un botnet) et a de nombreux numéros de carte différents pour essayer.

Ceci est aggravé par le fait que, tout comme avec les mots de passe ordinaires, la plupart des gens ne les choisissent pas au hasard . 123456 Apparaîtra beaucoup, tout comme les nombres qui représentent les dates. En pratique, la plupart des mots de passe auront moins de 6 × log₂(10) ≈ 20 bits d'entropie.

Je ne vois aucune raison pour laquelle vous ne devriez pas être autorisé à choisir un mot de passe plus fort. Cette pratique envoie le signal qu'ils ne se soucient tout simplement pas de la sécurité. Cela me fait également soupçonner que quelque part dans leur base de données, il y a une NUMBER(6) au lieu d'un hachage stocké.

Que les paiements ne puissent pas être effectués sans un autre facteur d'authentification est un peu réconfortant, mais pas beaucoup. Un attaquant pourrait toujours voir l'historique de votre compte, ce qui pourrait contenir des informations très sensibles et également être utilisé pour du phishing.

Même si cela ne sera probablement jamais utilisé contre vous, si j'étais vous, j'envisagerais de passer à une nouvelle banque. De préférence celui qui nécessite une authentification à deux facteurs lors de la connexion.

D'autres commentaires

Il y a eu quelques discussions dans les commentaires et quelques bonnes réponses avec un autre point de vue sont apparues, donc je voudrais élaborer et répondre à certaines critiques.

Mais les noms d'utilisateur sont secrets!

Selon la question, les numéros de carte d'identité (à ne pas confondre avec les numéros de carte de crédit) sont "presque publics", et OP a précisé dans ses commentaires qu'il avait vu ces listes comme des "résultats pour les services du secteur public". En d'autres termes, les noms d'utilisateur ne sont pas secrets. Et ils ne devraient pas l'être - si la sécurité de votre système repose sur le fait que les noms d'utilisateur sont secrets, vous vous trompez.

La limite de taux par compte et/ou numéro IP s'en chargera.

Une attaque distribuée par force brute, par exemple en utilisant un botnet, aurait une chance décente de casser quelques comptes. Disons que vous avez 10 000 ordinateurs et que chaque ordinateur teste 3 mots de passe par jour pendant un mois sur différents comptes. C'est environ 10⁶ tentatives. Cela vous donnera un compte en moyenne si les mots de passe sont vraiment aléatoires. Dans le monde réel, vous obtiendrez beaucoup, beaucoup plus.

Bien sûr, la banque pourrait théoriquement avoir un système sophistiqué pour détecter et se défendre contre des attaques comme celle-ci. Peut-être peut-être pas. En tant que client, je n'ai aucun moyen de le savoir et je ne fais certainement pas confiance à une organisation qui ne peut même pas obtenir la bonne politique de mot de passe pour faire quoi que ce soit de plus avancé.

Une attaque hors ligne n'est pas pertinente. Si les mots de passe sont sortis, les données sensibles qu'ils protègent le sont aussi.

Peut-être peut-être pas. Il existe de nombreux vidages de données flottant sur Internet avec des données incomplètes. Prétendre que les mots de passe seront à jamais collés à l'historique de votre compte fait des hypothèses très solides sur la façon dont la violation s'est produite et sur la façon dont les données ont été traitées par la suite.

Votre carte de crédit PIN est seulement quatre chiffres, alors qu'importe de toute façon?

Votre carte de crédit PIN est un facteur faible dans une authentification à deux facteurs. L'autre facteur - la possession de la carte - rend le système plus fort.

Ce mot de passe est un facteur faible, et c'est aussi le seul facteur protégeant vos informations financières.

Conclusion

Pour être clair, je ne dis pas qu'il serait impossible pour une banque de sécuriser ce système par d'autres moyens. Je ne dis pas qu'une attaque réussie sur le compte de quiconque est probable, encore moins sur le vôtre en particulier. Ce que je dis, c'est que ce n'est pas "suffisamment sûr" pour une banque.

La banque a déjà eu la difficulté de mettre en place une authentification à deux facteurs pour les transferts financiers. Pourquoi ne pas simplement l'utiliser également pour les connexions?

La banque a (espérons-le) déjà eu la peine de hacher un mot de passe et de le stocker dans une base de données. Pourquoi ne pas simplement supprimer la partie du code qui limite le mot de passe à six chiffres?

Opinion contraire: attention

Il est fort probable que vous, en tant qu'utilisateur, n'ayez pas été informé des autres mesures de sécurité mises en place par votre banque devant votre code PIN. Je sais que pour CapitalOne360, qui a un système de broches similaire à 4 - 6 chiffres, j'ai été choqué! Mais après un certain temps d'utilisation du PIN sur le même ordinateur, j'ai finalement dû me connecter sur une machine alternative (IP différente, navigateur différent). Quand je l'avais fait, il m'avait en fait demandé pour un mot de passe. Non seulement cela, mais après avoir réussi à saisir le mot de passe, il a également demandé mon PIN en bonus).

Après quelques recherches, j'ai découvert que le navigateur ne demande un mot de passe que lorsque l'utilisateur visite le site Web pour la première fois et reçoit une sorte de cookie d'authentification. Une fois que le compte utilisateur est approuvé sur la combinaison IP/Cookie de cette machine, il permet alors une connexion sans mot de passe, uniquement PIN. Mais la première fois que l'utilisateur se connecte, il SONT requis pour entrer un mot de passe. Vous ignorez peut-être la pratique ( comme je l'étais ).

Je trouve incroyablement improbable qu'une banque qui dispose déjà d'un système de mot de passe fonctionnel fonctionne complètement pour un nombre de 6 chiffres uniquement, numérique PIN numéro. Les entreprises peuvent peut-être sembler stupides, mais considérant qu'un L'authentification à 6 chiffres rompt avec le bon sens, ainsi qu'avec les normes PCI, je doute sincèrement que ce soit la seule authentification présente.

Un mot de passe numérique à 6 chiffres est-il suffisamment sécurisé pour les opérations bancaires en ligne?

Non, ce n'est pas seulement en raison de la capacité d'un utilisateur malveillant à briser un tel mécanisme d'authentification, mais parce qu'il viole les normes de conformité PCI-DSS et les directives FFIEC on authentification. De plus, une authentification multifacteur est requise selon les directives de la FFIEC depuis 2006 .

Je suis sûr que vous manquez quelque chose dans votre examen de votre site Web - c'est-à-dire qu'il peut y avoir des facteurs d'authentification supplémentaires qui ne se déclenchent que dans certaines circonstances, par exemple si vous changez votre appareil ou votre adresse IP. Soit cela, soit vous n'écrivez pas réellement sur un véritable site Web de banque en ligne, mais sur un site d'aide financière tiers (que j'arrêterais probablement d'utiliser si j'étais vous).

Je vais prendre une position contraire, et dire oui, c'est assez sûr, pour une banque.

1. Les banques ont généralement beaucoup d'argent pour se remettre des infractions
2. Les banques ont généralement beaucoup d'influence auprès du gouvernement et peuvent éviter les recours collectifs (je viens du Canada et nous n'avons que quelques grandes banques)
3. Les banques ont beaucoup de clients et moins d'appels d'assistance = plus d'argent dans leurs poches
4. Les banques fonctionnent généralement sur des anciens mainframes, dont la mise à jour coûte cher
5. Les banques disposent généralement d'un logiciel de détection de fraude analysant toutes les transactions

Donc, ce n'est pas une question de sécurité absolue, c'est une question de savoir si cette politique de mot de passe maximise le profit. Dans la plupart des pays occidentaux, les administrateurs de la banque sont légalement tenus de maximiser les bénéfices pour les actionnaires.

Du point de vue du client:

Je ne recommande pas d'essayer de forcer votre propre mot de passe, mais si vous l'avez fait, vous remarquerez (espérons-le) un verrouillage de compte après 3-5 tentatives. Cela réduit l'efficacité des attaques par force brute.

Avec ma banque, on me pose des questions de sécurité si je me connecte depuis un ordinateur avec lequel je ne me suis pas connecté auparavant. Ainsi, un pirate informatique, sur un autre ordinateur, devrait deviner le mot de passe et connaître la réponse à la question de sécurité.

Si vous êtes un consommateur, votre gouvernement devrait, espérons-le, assurer la protection des consommateurs, ce qui se traduira par un remboursement de votre argent en cas de fraude.

Par rapport aux pratiques courantes du secteur, vos conditions ne sont pas si inhabituelles. Ma banque a des politiques similaires, avec deux différences notables:

• le nom d'utilisateur n'est PAS mon numéro de carte. Je l'ai reçu par courrier dans une enveloppe protégée, similaire à celle utilisée pour envoyer mon code PIN. Ce n'est pas un vrai secret cependant, on le trouve également dans certaines déclarations.

• mon mot de passe est numérique avec 6 chiffres MINIMUM (jusqu'à 10 chiffres je crois). Mais j'utilise quand même une broche à 6 chiffres.

Mon compte bancaire en ligne est également verrouillé après 3 tentatives de connexion infructueuses, je suis donc assez sûr qu'il ne sera pas forcé par la force. Je suppose que votre banque a la même politique; vous voudrez peut-être lire votre contrat ou vérifier pour en être sûr. On ne m'a jamais refusé l'accès à mon compte, sauf qu'une fois, j'ai oublié l'un des chiffres et j'ai essayé de le forcer brutalement.

Cela semble être une sécurité faible, mais en réalité, un piratage par force brute n'est pas possible pour les services bancaires en ligne.

Les banques utilisent des systèmes de détection de fraude très robustes et une surveillance très rigoureuse. Le verrouillage de compte nécessite généralement un appel téléphonique pour se réactiver, contrairement à de nombreux autres systèmes en ligne qui utilisent simplement un verrouillage temporel.

Ils utiliseront également très certainement des jetons anti-contrefaçon dans le formulaire de connexion, vous ne pouvez donc pas simplement lancer des demandes de publication au point final et vous attendre à ce qu'elles fonctionnent. En réalité, vous seriez limité au piratage de l'automatisation du navigateur, ce qui ralentira considérablement les choses et nécessitera une programmation beaucoup plus complexe à configurer. De nombreux sites bancaires en ligne utilisent également des claviers générés de manière aléatoire, de sorte que votre script d'automatisation devrait pouvoir effectuer une reconnaissance optique de caractères pour reconnaître les touches sur lesquelles appuyer.

Donc, dans la pratique, la courte longueur de broche n'est pas tout à fait l'échec de sécurité flagrant que d'autres suggèrent.

La force brute n'est généralement pas la façon dont les comptes en ligne sont compromis de toute façon. L'hameçonnage et l'ingénierie sociale sont les méthodes préférées, et la longueur/complexité des broches n'aidera pas à empêcher cela.

Si, comme vous l'avez souligné dans les notes:

Une personne entrant sur mon compte n'est toujours pas en mesure d'effectuer un paiement avant qu'il ne passe par un autre mécanisme de sécurité (que nous supposerons être bon).

Ensuite, il est probable que la seule chose que le mot de passe à 6 chiffres protège soit le solde et l'historique du compte.

A titre de comparaison: ma banque japonaise m'envoie l'historique de mon compte imprimé, dans un mail régulier. Ma boîte aux lettres n'est pas protégée et tout le monde peut récupérer la lettre.

Un mot de passe à 6 chiffres (éventuellement avec une limite de réessai et un délai d'expiration) semble donc être une amélioration.

Presque, mais pas tout à fait

Il est "suffisamment sécurisé" dans le sens où, à première vue, il est hautement improbable (presque impossible) que quelqu'un pénètre dans votre compte et puisse accéder à des données telles que le solde de votre compte, et dans la mesure où il est encore moins probable (en raison de l'authentification à deux facteurs) qu'ils puissent effectuer une transaction.

Il est pas suffisamment sécurisé dans la mesure où il est trivialement possible de fournir des numéros de compte aléatoires avec des codes PIN aléatoires (le format exact du numéro de compte, y compris les chiffres de contrôle, est une information connue du public, cela limite considérablement l'espace de recherche). Notez à quel point aléatoire-aléatoire est exactement la condition préalable au paradoxon d'anniversaire, donc la chance est du côté de l'attaquant.

À moins que la banque ne bloque par adresse IP lors du déclenchement du verrouillage (peu probable, mais même si vous pouvez exécuter trivialement l'attaque à partir d'un botnet), leur solide politique de verrouillage ne vaut exactement rien contre cette attaque. Vous pouvez tester littéralement dix milliers de combinaisons compte/PIN par seconde.

Oui, il est impossible de vous cibler personnellement , et il est toujours un peu fastidieux de cibler quelqu'un , mais cibler quelqu'un n'est pas pratiquement impossible, c'est entièrement faisable sans même pénétrer dans le serveur et voler la base de données de compte ou autre.

Maintenant, si vous envisagez la possibilité pour quelqu'un de lire le solde de votre compte et vos données personnelles et de connaître vos revenus comme quelque chose avec lequel vous pouvez vivre (vous n'avez rien à cacher, n'est-ce pas!), C'est néanmoins une chose inquiétante.

Non seulement ils savent maintenant qui vous êtes et où vous vivez (et si cela vaut la peine de cambrioler votre maison ou d'enlever votre enfant), mais c'est également tout à fait possible étant donné uniquement le nom et le prénom du titulaire de compte valide ainsi que le numéro de compte à prélèvement automatique vous.
Effectivement, vous pouvez contester la transaction - si vous en avez connaissance dans les 4 semaines. Mais si cela échappe à votre attention, c'est juste de la malchance pour vous. Dans les deux cas, c'est beaucoup de problèmes.

Dans l'ensemble, il peut être plus sécurisé.

Lorsque nous, les informaticiens, parlons de sécurité, nous parlons de peu d'entropie, d'algorithmes de hachage, de tentatives de force brute, etc. Il est facile d'oublier une règle simple et incontournable. Les gens sont stupides! Tout cela passe par la fenêtre lorsqu'un utilisateur écrit son mot de passe, son code PIN et sa question/réponse de sécurité sur un morceau de papier , enroule ce papier autour de leur carte ATM et met le tout dans leur portefeuille. (Ou placez leur mot de passe sur une note collante jaune sous le moniteur.)

Utiliser un seul mot de passe à 6 chiffres, en conjonction avec une authentification multifacteur et une politique de verrouillage forte est probablement beaucoup mieux "dans l’ensemble", puis plusieurs mots de passe plus complexes.

Prenons un exemple:

ancienne façon:

Un utilisateur crée son compte, puis doit choisir un code PIN de carte. On leur dit d'utiliser un numéro dont ils se souviennent. La plupart des gens choisissent une date ou une combinaison de dates, ou 1234.

L'utilisateur est ensuite invité à définir une "question de sécurité et une réponse" pour quand il appelle. Ils choisissent quelque chose comme "À quelle école primaire êtes-vous allé en 5e année?

L'utilisateur est ensuite invité à définir un mot de passe sécurisé sur le site Web, mais déteste ces choses car il ne se souvient jamais vraiment d'un mot de passe sécurisé, il définit donc "sunsname123 @" et le caissier le note pour eux et l'utilisateur le met dans son portefeuille.

C'est une pratique assez courante. Les numéros de broche peuvent être déterminés en ayant seulement besoin de vérifier un sous-ensemble des numéros qui pourraient être une date valide, en quelques combinaisons. La question de sécurité est inutile, car elle est de notoriété publique, et le mot de passe répond à toutes les exigences techniques ou à un "mot de passe sécurisé" mais ne l'est pas.

Nouvelle façon:

Un utilisateur crée son compte et est invité à choisir une broche tout à 6 chiffres. Ils en choisissent toujours un en fonction d'une date.

L'utilisateur est alors aidé avec, de donné ou dit d'installer un authentificateur multifacteur (permet de faire semblant un porte-clés pour l'instant).

Maintenant, peu importe la transaction, que ce soit au guichet automatique ou en succursale ou par téléphone, vous pouvez demander au personnel de la banque et au client de fournir/recevoir le PIN et le code MFA).

Dans le monde réel, cela présente probablement moins de risques que les personnes moins enclines à la sécurité qui appellent une fois par semaine parce qu'elles ont oublié leur mot de passe, fournissant la réponse publique à leur question de sécurité, réinitialisant leur mot de passe et l'écrivant à nouveau et le collant dans leurs portefeuilles .

il n'est pas suffisamment sécurisé d'un point de vue global. Pensez à ce que le système essaie de se connecter à 100 000 comptes en utilisant un seul mot de passe. Pourquoi de nombreuses banques en dépendent, est au-dessus de mon engagement. Même la consultation de votre compte (sans possibilité de retirer de l'argent) peut en fait nuire (adresse, solde, ...).

Un autre problème est que même le verrouillage de votre compte peut être une sorte d'ingénierie sociale. Il ne devrait pas être possible de verrouiller le compte d'une autre personne en tapant 3/5 de mauvais mots de passe. Il n'est pas beaucoup utilisé en tant que tel, mais peut faire beaucoup de mal ou d'inconvénients. Pensez à quelqu'un qui verrouille délibérément le compte d'un autre, puis l'appelez "au nom de la banque" pour des raisons physiques. Ou tout simplement pour le contrarier (vengeance en ligne, etc.)

Oui, c'est bien, mais seulement si cela fait partie de l'authentification multifacteur * et comprend un système de vérification de canal latéral sur les actions des utilisateurs **.

À mon avis, toutes les solutions moins sécurisées ne conviennent pas dans une banque Internet moderne et ne traitent pas les ordinateurs infectés, les MIB, etc.

* Par exemple, vous devez vous porter garant de l'ordinateur que vous utilisez, via votre téléphone portable.

** Tels que chaque action de paiement sont envoyés avec un code sur votre téléphone mobile qui comprend également des détails sur l'action de paiement que vous acceptez.