web-dev-qa-db-fra.com

Ce site Web de banque est-il suffisamment sécurisé? Pas de https dans la page de connexion

Aujourd'hui, j'ai ouvert un compte bancaire pour investir mon épargne. Voici le lien vers la page de connexion: http://www1.directatrading.com/

J'ai remarqué qu'il n'utilise pas le protocole Https (ni cette page ni la page de destination où vous pouvez acheter des actions, etc.). De plus, votre mot de passe peut contenir au maximum 10 caractères et il n'y a pas de vérification en 2 étapes ...

C'est la page où ils expliquent leur sécurité (c'est l'italien, peut-être pourriez-vous traduire: https://www.directa.it/pub2/it/altreinfo/sicurezza.html ).

Merci pour toute contribution.

C'est une grande société de courtage, il me semble donc étrange qu'ils ne se soucient pas beaucoup de la sécurité (mais je ne suis pas un expert).

passwordshttpweb-serviceaccount-security
15
KingBOB

n'utilise pas le protocole Https

Le site Web que vous avez fourni prend en charge HTTPS, mais pas la redirection HSTS ou HTTP vers HTTPS. C'est pourquoi vous pourriez être dirigé vers un site HTTP non sécurisé. analyse SSL Labs .

De plus, votre mot de passe peut contenir au maximum 10 caractères

Curieusement, cela est courant dans les services bancaires en ligne. J'ai rencontré une banque qui a défini les règles suivantes pour un mot de passe {az-AZ-09} avec une limite de caractères inférieure ou égale à 10.

il n'y a pas de vérification en 2 étapes ...

Malgré cela, cela devient une norme de sécurité. Certains ont encore configuré leur infrastructure avec une sécurité primitive, compte tenu des vecteurs d'attaque modernes. 2FA doit être un must . La plupart des banques fourniront soit un " clé sécurisée ", soit un accès à un mot de passe unique à partir de leur application de banque mobile.

Mon conseil personnalisé. Évitez les services bancaires en ligne avec cette banque et recherchez une alternative qui peut satisfaire vos besoins de sécurité (OpSec).

21
safesploit

En supposant que c'est la page de connexion réelle:

Oui, c'est très précaire par rapport aux normes modernes, et encore plus pour tout ce qui implique des transactions monétaires réelles.

Il y a toujours la possibilité mince que la page se charge sur HTTP mais se soumette ensuite à un serveur protégé par HTTPS. Ce serait toujours mauvais mais ce serait au moins "mieux". Cependant, j'ai confirmé que cela ne se produit pas. Comme je suis sûr que vous savez que cela permettrait à n'importe qui sur votre réseau local (ou n'importe où entre vous et leur serveur) de lire votre nom d'utilisateur et votre mot de passe.

Il n'y a pas non plus de protection CSRF sur le point de terminaison de connexion - cela peut introduire de nombreuses autres faiblesses de sécurité plus subtiles (bien que loin d'être aussi graves que l'échec du chiffrement de vos informations de connexion).

Le meilleur scénario ici est que la page sur laquelle vous vous trouvez n'est pas supposée être la page de connexion principale, mais vous vous y êtes retrouvé par accident et ils ont oublié de la supprimer et de diriger les gens vers la connexion page qui est réellement sécurisée.

J'ai géré le site Web décrivant leur sécurité via google translate. Évidemment, ce ne sera pas parfait, mais cela donne certainement les points saillants:

  1. Nous n'avons jamais eu de brèche auparavant - rien à craindre!
  2. Nous avons un pare-feu super sécurisé
  3. Nous utilisons le cryptage SSL!
  4. Vous pouvez changer votre mot de passe!
  5. Vous pouvez refuser l'accès à votre compte à partir de tous les appareils sauf un
  6. Vous pouvez voir quand/où vous vous êtes connecté pour la dernière fois
  7. Vous pouvez recevoir un SMS chaque fois que quelqu'un se connecte
  8. Même si quelqu'un devait se connecter votre argent serait en sécurité car nous n'autorisons pas les transferts vers des comptes non spécifiés par vous et indiqués dans votre contrat

Je ne prendrais rien de tout cela très au sérieux, surtout compte tenu de leur incapacité à fournir un cryptage SSL sur la page de connexion, qui est probablement la page la plus importante à sécuriser. Compte tenu de leurs pratiques laxistes ici, je suppose qu'ils ont des failles de sécurité ailleurs dans leur système. Personne ne saura jamais si elles ont déjà eu une brèche - ce qu'il faut dire:

Si nous avons déjà eu une brèche, nous ne le savons pas du moins! Nous promettons que nous ne mentons pas!

S'ils n'ont vraiment jamais eu de brèche, c'est probablement parce que personne n'a jamais pris la peine de les cibler, et non à cause de bonnes pratiques de sécurité. Je ne prendrais même pas le point 8 au sérieux. Vous seriez surpris de ce que les gens disent aux techniciens de support de compte, et même si un attaquant ne peut pas voler activement votre argent, cela ne signifie pas qu'ils ne peuvent pas vous causer de graves dommages s'ils entrent dans votre compte.

10
Conor Mancone

Celui qui a conçu le site Web semble manquer de connaissances en matière de sécurité. Comme d'autres l'ont souligné, ils prennent en charge HTTPS, mais au moins vous devez être redirigé du HTTP vers HTTPS lorsque vous allez sur le site de connexion . C'était la norme pour les sites Web sécurisés il y a plus de 10 ans. Il est extrêmement trivial de l'implémenter, offre une réelle protection contre les vraies attaques, et ne pas l'avoir est un drapeau rouge.

Encore mieux serait de prendre en charge HSTS (également non pris en charge), qui est un moyen de publier des informations sur la façon dont le site Web ne devrait être disponible que via HTTPS. Cette norme a maintenant près de 6 ans et est largement mise en œuvre. Une banque ne disposant pas de cette simple mesure de sécurité est un autre drapeau rouge.

Cela ne devrait pas vous surprendre que les sites Web italiens ... ne soient pas vraiment les meilleurs. J'ai passé beaucoup de temps en Italie à utiliser des sites Web italiens, et beaucoup sont terriblement mauvais et ont environ 15 ans de retard. Ce site ne fait pas exception.

Les limites de longueur de mot de passe sont malheureusement la norme pour de nombreuses banques. En effet, une grande partie du secteur bancaire est elle-même très en retard avec une énorme quantité de systèmes hérités encore en place. L'absence d'authentification à 2 facteurs est également relativement courante. Ces deux éléments indiquent que l'institution ne se concentre pas sur la sécurité, mais il est beaucoup trop courant que ces signaux soient des signaux d'alarme.

J'ai exécuté un test de leur configuration SSL contre SSL Labs: https://www.ssllabs.com/ssltest/analyze.html?d=www1.directatrading.com

Ce n'est en fait pas terrible (ils obtiennent un B), ce qui n'est pas un drapeau rouge, mais c'est un autre indicateur du non-respect des normes de sécurité.

Je ne recommanderais pas d'utiliser cette institution financière car ils semblent avoir un sérieux mépris pour les pratiques de sécurité modernes datant d'au moins 10 à 15 ans. Les problèmes visibles ne sont souvent que la pointe de l'iceberg.

8
Steve Sether