web-dev-qa-db-ja.com

空白の桁が少なすぎるIBAN?

ウェブサイト、メッセージ、またはその他のドキュメントでは、データ(クレジットカード番号、電話番号など)を一部空白にして(たとえば、アスタリスクに置き換えて)表示するのが通例です。それはできますが、敵はできません。

私の銀行はこれを使用して、mTAN確認メッセージの電信送金受信者の銀行口座番号を難読化しています。ただし、非表示にするのは [〜#〜] iban [〜#〜] の最後の3桁のみです。

IBANが97を法とするチェックサムを含むことを考えると、これは実際には「実際の」データのの1桁の桁を非表示にすることよりもはるかに優れていないため、敵が正しいと推測する可能性が高くなります。特定の銀行がIBANの右端を形成するいくらか予測可能なローカルアカウント番号を持っているという追加の事実(たとえば、多くの場合00で終わる、またはおそらく何らかの種類のチェックサムがすでにある)を考えると、この方法はあまり快適ではありません。

心配する必要がありますか/銀行に説明を求めますか?

編集:私は SEPA(IBANおよびBIC)情報を正しくマスクする方法を知っていますか? ですが、その質問と回答の目的非常に異なる方向、つまり、計画されたトランザクションで使用する「私の」IBANの一握りからそれを認識するために、どれくらいのIBANを公開する必要がありますか?答えは、通常、最後の3〜4桁で十分であると述べています。しかし私の質問は、IBANがほとんどすべての桁を表示して送信されるという反対のシナリオに関係しています。このシナリオで多くの桁を表示するのは理にかなっているので、IBANが確かに以前に入力した任意IBANであると確信できます(そして、誰かを傍受するアカウントではありません) mTAN)。 「IBAN番号は秘密ではありません」もここに当てはまる可能性があります(したがって、難読化の必要性に疑問を投げかけます)、強力なチェックサムが難読化をほぼ完全に損なうことの影響についても懸念しています。

8

MTANメッセージにIBAN(の一部)を記載する理由は、宛先アカウントを変更する不正なブラウザプラグインなどの攻撃者からyoを保護するためです。非表示にするほど、攻撃者が衝突を使用できる可能性が高くなります。つまり、非表示になっていない番号が意図した転送と一致するアカウントに完全にアクセスできます。プラグインは取引のアカウントのみを変更するため、エクスプロイト知っているを利用できるため、銀行は可能性を低くするためにできるだけ多くを表示したいと考えています。誰かがmTANを傍受する可能性は、おそらく小さすぎて気にすることができないと考えられています。

たとえば、ドイツでは、名前と銀行口座番号(IBAN)を知っているだけで商品やサービスを購入できます

まあ、これはあなたの銀行に説明を求めるべきである本当の問題です。アカウント番号は秘密でも予測不可能でもないため、一般にアクセス可能な情報として扱う必要があります。 1つの口座番号がわかっている場合、通常は他の有効な口座番号も非常に簡単に生成できるため、名前がチェックされることを期待することしかできません。

2
numo68