web-dev-qa-db-ja.com

パスワードは保護されていますかPDFファイルは銀行取引明細書の添付ファイルに対して安全ですか?

私の銀行は毎月の明細書をパスワード保護されたPDF添付ファイルで私にメールします。これは銀行の明細書と同じくらい機密性の高いものを送信する安全な方法ですか?

16
zundarz

いいえ、パスワードで保護されたPDFファイルを使用することは、機密データにとって十分ではありません。

他の人がすでに述べたように、PDF標準の新しいバージョンは元々よりもはるかに優れた暗号化方式を使用しますが、ファイルのパスワード(強力なものであっても)は常にブルート攻撃を受けやすくなります。攻撃を強制します。この時点で、あなたのコンピュータが十分に遅く、彼らの(うまくいけば)パスワードを解読するまでに情報は無関係であることを望んでいます。これは多くの「うまくいけば」です。パスワードが50文字未満の場合、ドキュメントのセキュリティはほとんど笑えるほど素朴に聞こえ始めます。

これは、銀行がパスワードを取得する場所に応じて、他の方法でセキュリティリスクを引き起こす可能性もあります。これと同様のことを行い、アカウントのパスワードを使用してドキュメントを暗号化する銀行を知っているので、パスワードを1つだけ覚えておく必要があります。これは、サーバーにアカウントパスワードを保存していることを意味します。暗号化されている場合とそうでない場合がありますが、いずれにしても、銀行のサーバーに侵入してデータベースダンプを取得した攻撃者がパスワードを持っていると想定しても、おそらく安全です。パスワードをソルトハッシュ以外に保存する言い訳はありません(同じ銀行がパスワードを忘れた場合は、メールで送信します。

可能であれば、銀行に電話して、公開鍵システムを使用して暗号化された明細書の送信を開始するよう依頼してください。 [〜#〜] pgp [〜#〜]S/MIME はどちらも非常に優れており、もう少し安全性が高まります(それはあなたの仕事です)銀行ではなく秘密鍵を保護してください)。

多くの銀行は、比較的安価にRSAトークン(または同等のテクノロジー)を提供しています。特に最近、RSAでいくつかの(深刻な)セキュリティ違反がありましたが、銀行が提供している場合、これはアカウントのセキュリティに優れた追加機能です。

7
Sam Whited

このような貴重な個人情報が含まれていなくても、セキュリティはほとんど信用できません。

Adobeが最新バージョンに使用している暗号化標準は、Grahamが述べたようにまったく悪くありませんが、より大きな問題は実際の実装です。 (Adobe 8での実装は、Adobe自身が認めた128ビットの暗号化でしたが、実際には少し優れていましたが)。

Elcomsoftは、PDFパスワードの回避(必ずしも取得とは限らない)用に特別に製品を販売しており、サードパーティ(CMUを含む)が確認したテストによると、非常にうまく機能します。

その事実と、パスワード自体が安全でない/簡単に推測できる可能性、それ自体が危険にさらされる可能性のあるアカウントに予測可能な方法で送信されるという事実、およびユーザーに関するあらゆる情報を保存しているという事実と、災害のレシピ/新しい銀行/最低でも彼らのための新しいポリシー。

5
doyler

私が知っている限り、多くの銀行が月次ステートメントに関してかなり低いバーを持っていることを知っている限り、多くの銀行は月次ステートメントを非常に「機密データ」であると考えていません。

他の人が言ったように、PDF暗号化は最善ではないと思います、

2
Ali