Est-ce que l'accès au compte bancaire sur Internet est-il vraiment sécurisé?

La sécurité est relative, par exemple, accède à une banque dans la vie réelle très sécurisée? Vous pourriez être volé au pistolet. Votre guichet automatique pourrait avoir un skimmer pour voler les données de votre carte.

Bien sûr SSL a ses problèmes , le PKI a également ses problèmes et les personnes travaillent dessus . Le EFF promeut "Touches souveraines" , qui empêche essentiellement des pays comme Iran de forger un certificat valide pour Gmail . La solution proposée par Moxie Marlinspike sur Rogue CAS est convergence .

Très peu de gens peuvent fermer une attaque sur SSL, mais quand cela brise son très mauvais. Cependant, une attaque MITM ne vous fera pas tirer dessus. Donc, la banque en ligne est beaucoup plus sécurisée que toute alternative que nous avons actuellement.

Comme vous l'avez découvert, oui cela dépend du système SSL compromis (soit un certificat délivré à une partie qui ne possède pas le site réel, ni injection d'une fausse certification CA dans le client) et = Pour que le navigateur tente de se connecter via le site MITM (en tant que proxy, ou via une intoxication DNS, ou une injection de routage).

Soit seul (AFAIK) ne permettra pas de compromettre la connexion d'une manière qui n'est pas détectable pour le client. Notez que cela signifie que toute organisation fournissant à la fois le routage et la liste de certification initiale peut compromettre le service (fournisseurs de fournisseurs fournis pour former MSIE 4/Netscape 4 avec un CD d'installation pour les services d'accès à distance, vous obtenez souvent un logiciel à installer pour accéder à l'accès. Un routeur ADSL conçue USB ou même réseau, présentant la possibilité de bricoler avec la liste de la CA).

"Maintenant, le navigateur doit toujours avertir le client, car le certificat présenté est délivré à un hôte différent de celui de l'URL" - mais vous avez dit que la publication était "légitime"? Si le certificat ne correspond pas au nom d'hôte, il n'est donc pas légitime.

Mais il y a encore beaucoup d'autres moyens de saper la sécurité d'un site Web sans aller à ces longueurs.

Votre compréhension est correcte. Un risque uniforme (dans de nombreuses situations) est un logiciel malveillant sur la machine client que vous utilisez pour faire des services bancaires en ligne à partir de. Les logiciels malveillants peuvent complètement vaincre toutes les défenses de sécurité: SSL, antivirus, vous l'appelez. Nous avons déjà vu de tels logiciels malveillants utilisés largement dans la nature, généralement pour voler de l'argent des petites entreprises. Ainsi, la banque en ligne est assez effrayante.

Cela dit, en tant qu'individu, j'utilise volontiers la banque en ligne tout le temps. Tu sais pourquoi? Parce que ma banque promet que, en cas d'accès non autorisé, ils me rendront ensemble. Tant que j'utilise des pratiques raisonnables (choisissez un bon mot de passe, ne le disons à personne, déconnectez-vous après avoir terminé bancaire), en cas de charges non autorisées sur mon compte, la banque est responsable de toute perte, non moi. Cela signifie que je suis en sécurité et je n'ai pas à vous soucier des risques.

Par exemple, voici la politique de la Banque of America :

Avec notre service bancaire en ligne, vous pouvez être confiant que vos comptes bancaires d'Amérique seront sécurisés et protégés. Notre service bancaire en ligne sécurisé comprend une protection de 10 $ de responsabilité pour toute activité frauduleuse provenant de la banque en ligne, y compris le paiement de factures. [...]

Bank of America promet que vous n'êtes pas responsable d'une activité frauduleuse provenant de votre relation bancaire en ligne. Nous vous créditerons pour des fonds transférés de vos comptes jusqu'au montant de votre perte lorsque vous en avertissez la Banque dans les 60 jours suivant la transaction figurant sur votre déclaration.

Voir aussi leur accord de service pour plus de détails. Autant que je sache, cela est largement représentatif des types de protections que de nombreuses banques offrent à des comptes individuels, bien que toutes les banques n'offrent pas un langage de protection concret, explicite et de protection dans leurs accords.

Cependant, il y a une prise significative. Cette protection n'est proposée qu'aux individus. C'est pas disponible pour les comptes d'entreprise. Avec des comptes commerciaux, s'il existe une violation de la fraude ou de la sécurité, la Banque décline toute responsabilité et laisse leur client sur le crochet. Cela rend les banques en ligne sans danger pour les particuliers, mais très dangereuses pour les entreprises - en particulier les petites entreprises, qui n'ont peut-être pas l'expertise nécessaire pour se défendre de manière adéquate contre ces menaces. Malheureusement, de nombreuses petites entreprises ne sont pas au courant des risques de banque en ligne et certains d'entre eux ont été martelés par des criminels en ligne. Voir Blog Brian Krebs ' pour documentation complète du nombre de petites entreprises qui ont été dévastées par ce problème. Pour cette raison, je recommanderais de petites entreprises en tenant compte de la banque en ligne WAND TRES SOAntement .

Je ne m'inquiète pas vraiment beaucoup du système entre moi et la banque, je pense que cela obtient beaucoup d'examen et est assez difficile à attaquer.

Je ne m'inquiète pas de la sécurité de la Banque car je ne peux rien faire à ce sujet et je suis assez certain qu'ils sont surtout responsables si les gens volent directement de l'argent de leurs bases de données.

Je suis terrifié d'accéder à une banque d'un PC Windows. Les Keyloggers en rootkits sont pratiquement impossibles à détecter, le logiciel de détection de virus est généralement une année environ derrière la courbe sur rootkits (quand ils peuvent les détecter du tout) et rien que vous ne puissiez les empêcher. Vous pouvez être vraiment prudent mais éventuellement quelque chose est susceptible d'entrer. Chaque si souvent, vous trouverez même des pages de navigateur où les visionnez simplement de compromettre votre PC.

Si vous redémarrez dans un outil séparé qui scanne le disque dur et si la signature ou le motif de votre rootkit est contenue dans la base de données de cet outil, vous êtes plutôt bon, mais je ne sais pas assez de l'industrie pour savoir à quel point ceux-ci sont considérables.

Je me sens légèrement plus sûr sur OSX/Linux/iOS Pas parce qu'il est impossible de les pirater ou de quoi que ce soit, mais c'est un peu plus difficile et je sais que paranoïaque comme je suis que j'ai finalement trouvé les rootkits sur mes PC Windows mais je dois encore trouver Un sur les autres plates-formes (je cours 4, y compris Android, mais cela ne se sent pas aussi sûr que j'aimerais), il n'ya donc que beaucoup d'expérience personnelle. Windows 7 peut également être plus sûr, pas assez de données pour savoir à coup sûr.

Il s'agit de la manière dont les banques lentes doivent mettre à jour leur configuration SSL lorsque leurs sites sont vulnérables aux attaques telles que le cœur et le caniche. Dans les tests SSL Labs Server, les sites bancaires scèdent généralement pire que les réseaux sociaux (Twitter et Gmail prennent très au sérieux la sécurité).

J'ai fait cette page en déposant les scores SSL Labs des banques britanniques http://www.bank-grade-security.uk/