Un mot de passe est-il protégé PDF est sécurisé pour les pièces jointes aux relevés bancaires?
Ma banque m'envoie mon relevé mensuel par e-mail dans un mot de passe protégé PDF pièce jointe. Est-ce une méthode sécurisée pour transmettre quelque chose d'aussi sensible qu'un relevé bancaire?
Non, l'utilisation d'un mot de passe protégé PDF n'est tout simplement pas suffisant pour les données sensibles.
Comme d'autres l'ont déjà dit, une version plus récente de la norme PDF utilise de bien meilleures méthodes de chiffrement qu'auparavant, cependant, un mot de passe sur un fichier (même fort) sera toujours sensible à la brute forcez les attaques. À ce stade, vous espérez simplement que leur ordinateur est suffisamment lent pour que, au moment où il déchiffre votre mot de passe (espérons-le), les informations ne soient pas pertinentes. C'est beaucoup de "j'espère". un mot de passe de moins de 50 caractères, la sécurité de vos documents commence à paraître presque ridiculement naïve.
Cela pourrait également créer un risque pour la sécurité d'autres manières selon l'endroit où la banque obtient le mot de passe. Je connais une banque qui fait quelque chose de similaire et utilise le mot de passe de votre compte pour crypter le document, de sorte que vous n'avez à mémoriser qu'un seul mot de passe. Cela signifie qu'ils stockent le mot de passe de votre compte sur le serveur. Il peut être crypté, et ce n'est peut-être pas le cas, mais dans les deux cas, il est probablement sûr de supposer que tout attaquant qui parvient à s'introduire dans votre serveur de banque et à obtenir un vidage de base de données a maintenant votre mot de passe. Il n'y a aucune excuse pour enregistrer des mots de passe autrement que des hachages salés (la même banque vous envoie votre mot de passe si vous l'oubliez ... oui, dans un e-mail en texte brut).
Si vous le pouvez, appelez votre banque et demandez-lui de commencer à vous envoyer vos relevés cryptés à l'aide d'un système de clé publique. PGP et S/MIME sont tous les deux excellents et mettront un peu plus de sécurité entre vos mains (ce sera votre travail de protéger votre clé privée, pas vos banques).
De nombreuses banques fournissent également des jetons RSA (ou une technologie équivalente) à des prix relativement bas. Bien qu'il y ait eu des violations de sécurité (graves) avec RSA en particulier ces derniers temps, cela reste un excellent ajout à la sécurité de votre compte si votre banque le propose.
Je ne ferais même pas presque confiance à sa sécurité même s'il ne contenait pas de telles informations personnelles.
Le standard de cryptage qu'Adobe utilise pour les versions les plus récentes n'est pas mauvais du tout comme Graham l'a mentionné, mais le plus gros problème est sa mise en œuvre réelle. (Bien que l'implémentation dans Adobe 8 était en fait un peu meilleure même si ce n'était qu'un cryptage à 128 bits comme Adobe l'a même admis).
Elcomsoft commercialise un produit spécialement pour PDF évitement de mot de passe (pas nécessairement récupération) qui fonctionne assez bien selon les tests que j'ai vus par des tiers (y compris CMU).
Combiner ce fait avec la possibilité que le mot de passe lui-même puisse être non sécurisé/facilement devinable, le fait qu'il est envoyé de manière prévisible à un compte qui pourrait lui-même être compromis, et le fait qu'ils stockent quoi que ce soit à votre sujet et c'est un recette du désastre/une nouvelle banque/une nouvelle politique pour eux à tout le moins.
Je suppose que de nombreuses banques ne considèrent pas les relevés mensuels comme des "données sensibles", pour autant que je sache que beaucoup de banques ont des barres plutôt basses en ce qui concerne les relevés mensuels.
Comme d'autres l'ont dit, je pense que le cryptage PDF n'est pas le meilleur,