web-dev-qa-db-ja.com

この銀行のウェブサイトは安全ですか?ログインページにhttpsがありません

今日、私は貯金を投資するために銀行口座を開設しました。ログインページへのリンクは次のとおりです。 http://www1.directatrading.com/

私はそれがHttpsプロトコルを使用していないことに気づきました(そのページも、株式などを購入できるランディングページにもありません)。さらに、パスワードは最大10文字で、2段階認証はありません...

これは彼らが彼らの安全を説明するページです(それはイタリア語です、多分あなたは翻訳できます: https://www.directa.it/pub2/it/altreinfo/sicurezza.html )。

ご意見をお寄せいただきありがとうございます。

それは大きなブローカー会社なので、彼らがセキュリティについてそれほど気にしないのは奇妙に思えます(ただし、私は専門家ではありません)。

passwordshttpweb-serviceaccount-security
15
KingBOB

httpsプロトコルを使用しない

指定したウェブサイトはHTTPSをサポートしていますが、HSTSまたはHTTPからHTTPSへのリダイレクトはサポートしていません。そのため、セキュリティで保護されていないHTTPサイトにリダイレクトされる可能性があります。 SSL Labs分析

さらに、パスワードは最大10文字です。

奇妙なことに、これはオンラインバンキングでは一般的です。私は、文字数制限が10以下のパスワード{az-AZ-09}に対して次のルールを定義した銀行を経験しました。

2段階認証はありません...

これにもかかわらず、セキュリティの基準となっています。現代の攻撃ベクトルを考えると、一部の企業はインフラストラクチャをプリミティブセキュリティで構成しています。 2FAはである必要があります。ほとんどの銀行は、「 セキュアキー 」を提供するか、モバイルバンキングアプリからワンタイムパスワードにアクセスします。

私の個人的なアドバイス。この銀行ではオンラインバンキングを避け、yourセキュリティ(OpSec)のニーズを満たす代替手段を探してください。

21
safesploit

これが実際のログインページであると想定します。

はい、これは現代の基準では非常に安全ではありません。実際の金融取引に関わるものについてはなおさらです。

ページがHTTPでロードされても、HTTPSで保護されたサーバーに送信される可能性は常にあります。それはまだ悪いことですが、少なくとも「より良い」でしょう。しかし、私はこれが起こらないことを確認しました。私はあなたがローカルネットワーク上の(またはあなたとそのサーバーの間のどこか)上の誰でもあなたのユーザー名とパスワードを読むことを許可することをあなたが知っていると確信しています。

ログインエンドポイントにはCSRF保護もありません。これにより、他の多くの微妙なセキュリティ上の弱点が生じる可能性があります(ただし、ログイン資格情報の暗号化に失敗するほど深刻ではありません)。

ここでの最良のシナリオは、現在表示しているページが想定ではなく、メインのログインページではないが、誤ってそのページに移動して、ページを削除するのを忘れて、人々をログインに誘導することです。実際に安全なページ。

私はグーグル翻訳を通して彼らの安全を説明するウェブサイトを走らせました。明らかにそれは完璧ではありませんが、確かにハイライトを与えます:

  1. これまでに違反はありませんでした-心配する必要はありません!
  2. 非常に安全なファイアウォールがあります
  3. SSL暗号化を使用しています!
  4. パスワードを変更できます!
  5. 1つを除くすべてのデバイスからのアカウントへのアクセスを拒否できます
  6. 最後にログインした日時/場所を確認できます
  7. ログインするたびにテキストメッセージを受け取ることができます
  8. たとえif誰かがあなたのお金をログインさせたとしても、私たちはあなたによって指定されておらず、契約に示されているアカウントへの転送を許可していないので安全です

特にログインページでSSL暗号化を提供できないことを考えると、これを真剣に受け止めることはしません。ここでの彼らの緩い慣行を考えると、私は彼らが彼らのシステムの他の場所にセキュリティホールを持っていると思います。彼らがこれまでに違反したかどうかは誰にもわからないことです。

違反があったことがあれば、少なくともそれについては知りません。私たちは嘘をついていないと約束します!

彼らが実際に違反したことがないのは、おそらく誰も彼らを標的にしようと試みたことがないためであり、適切なセキュリティ慣行のためではありません。私はポイント#8を真剣に受け取らないでしょう。アカウントサポート技術者が何をするように言っているのかには驚かれるでしょう。攻撃者が積極的にお金を盗むことができなくても、アカウントに侵入しても深刻な危害を及ぼすことができないというわけではありません。

10
Conor Mancone

Webサイトを設計した人は誰でも、セキュリティに関する知識が不足しているようです。他の人が指摘したように、doはHTTPSをサポートしていますが、少なくともログインサイトにアクセスすると、HTTPからHTTPSにリダイレクトされる必要があります。これは、10年以上前の安全なWebサイトでは標準的でした。これを実装するのは非常に簡単で、実際の攻撃から実際に保護し、それを危険にさらすことはありません。

[〜#〜] hsts [〜#〜] (これもサポートされていません)をサポートするのがさらに良いでしょう。この規格は現在、ほぼ6年前に作成され、広く実装されています。この単純なセキュリティ対策を講じていない銀行は、もう1つの問題です。

イタリアのウェブサイトが本当に最高ではないことは、驚くに値しないでしょう。私はイタリアでかなりの時間をイタリアのウェブサイトを使って過ごしました、そして多くは驚くほどひどく、そして時代よりおよそ15年遅れています。このサイトも例外ではありません。

残念ながら、パスワードの長さの制限は多くの銀行にとって標準です。これは、銀行業界の多くが時代遅れであり、莫大な量のレガシーシステムがまだ残っているためです。 2要素認証の欠如も比較的一般的です。これらはどちらも機関がセキュリティに焦点を当てていないことを示していますが、これらがレッドフラグであることはあまりにも一般的です。

SSLラボに対してSSL構成のテストを実行しました: https://www.ssllabs.com/ssltest/analyze.html?d=www1.directatrading.com

それは実際にはひどいものではありません(彼らはBを取得します)。これは危険信号ではありませんが、セキュリティ標準に追いついていないことのもう1つの指標です。

この金融機関を使用することはお勧めしません。少なくとも10〜15年前の現代のセキュリティ慣行は無視されているようです。目に見える問題は、しばしば氷山の一角にすぎません。

8
Steve Sether