Thursday, July 30, 2015

Securitate la cote maxime: ING si parola de 5 cifre

ING insecure
Sursa: https://commons.wikimedia.org/wiki/File:ING_logo.png
Da, ati inteles bine: 5 cifre. Nu litere, semne, sau toate combinate. Doar cifre.

Mai multe detalii gasim direct pe site-ul ING.

Citez:

"Totul incepe cu alegerea unei parole potrivite.  Astfel, ne asiguram mai intai ca iti vei alege o parola greu de "spart" folosind 5 cifre care nu trebuie sa fie identice sau consecutive (ex. "00000","12345","54321")."

Cred ca au gresit putin cu ghilimelele, trebuia "greu de spart", pentru ca cateva combinatii(*) inseamna cu adevarat ceva foarte "greu de spart", mai ales ca:
  • De obicei pui primele 5 caractere din CNP (adica gender + part of birthday)
  • O bucata din data nasterii 23/05/1989
  • Numarul tau de telefon (primele sau ultimele cifre, de obicei primele)
  • Probabil vei folosi doar primele 5 cifre (12345 sau 01234) intr-o combinatie in care nu-s consecutive (01243 sau ceva similar, nimic prea inteligent)
Am pus (*) pentru ca nu sunt nici macar 100000 cum am crede la prima vedere. Asta pentru ca pentru a alege 5 cifre diferite avem doar cateva optiuni si anume combinari de 10 luate cate 5 = (10!/(5! * (10-5)!) = 252.

Deci aveti 252 de multimi de 5 cifre pe care le puteti aranja cum vreti voi, doar sa nu fie consecutive (Deci eliminam 0-4, 1-5, 2-6, 3-7, 4-8, 5-9, 6-0(sa zicem) si invers). Deci 14 variante eliminate de aici.

Avand 5 numere dintr-o multime de mai sus putem avea permutari de 5 elemente adica 5! (1*2*3*4*5) = 120.

252 * 120 = 30240 de parole posibile! din care scazand 14 vom avea 30226.

Securitatea in banking incepe cu low security!

UPDATE:
Mai adaugam la asta faptul ca multi au bifata by default optiunea "Doriti inregistrarea acestui dispozitiv pentru autentificari ulterioare?" fara sa inteleaga implicatiile si ING nu depune eforturi in a explica acest lucru.

ING undocumented option

Deci un brute force e binevenit in astfel de cazuri si sansele de reusita sunt destul de mari.

Intrebarea e: altii au optiuni mai bune decat "low security ING"? Daca da, care?

5 comments:

Unknown said...

Lasa asta. Daca au un sistem anti-brut force cat de cat ok (maxim 5/10 incercari pe minut, blocat dupa X incercari esuate) e ok.

Problema reala apar la "... sa confirmi tranzactia la Serviciul Clienti ING". Securitate maximala!
Am avut ceva probleme zilele astea si vreo 7-8 apeluri catre suportul de la Raiffeisen, Credit Europe si ING. CNP-ul, adresa din buletin, numarul de telefon, limita de la cardul de credit si vestita "numele de mama al mamei". WTF?
Primele 3 sunt la indeamana oricarui angajat emag/pcgarage/marketonline/cel/evomag/etc cu un pic de imaginatie. Al patrulea e relativ usor de aflat.
Iar legat de ultimul obstacol, era bun in era precedenta. In noua lume digital sociala in multe cazuri nu este asa greu sa faci rost de mama si apoi numele ei de fata.
-----------------------------------
Macar cei de la Credit Europe le mai rotesc. 5 apeluri la Raiffeisen, fix aceleasi intrebari de identificare.

undergraver said...

Corect.

Dar la atatea "variante de parole" merita sa faci un brute force (e banal!), mai ales ca unii isi bifeaza optiunea "Doriti inregistrarea acestui dispozitiv pentru autentificari ulterioare?" astfel incat nu mai primesti codul prin SMS ca vorba aia - terminalul e secure, ca doar userii stiu ce inseamna bifa respectiva.

electron said...

Cu toate ca nivelul de securitate nu e de loc acceptabil din cauza ca nu exista un standard minim (probabil) nici nu putem face o plangere la ANPC. I se mai pare si altcuiva ca acest lucru este intentionat slab securizat?

Anonymous said...

Azi mi s-a mentionat si mie chestia cu 5 cifre daca descarc aplicatia pe Android.
Dar aveam deja parola complexa la Homebank setata demult (litere, cifre, etc) si a functionat si la login-ul in aplicatia mobila. Deci nu e o constrangere chiar cum au zis ei (din fericire, ca altfel nu le foloseam app)

autoencoder said...

Azi am primit si eu acest mesaj, incercand sa ma loghez pe HomeBank.

Nu consider o parola de 5 cifre acceptabila. 2-factor authentication se transforma in 1-factor (codul primit prin SMS).

M-am plans la telefon; ce au zis e ca nu ar trebui sa stie nimeni nici numele de utilizator (care e un cod primit de la banca). Dar nu pot continua cu parola veche (care era suficient de sigura).

Eh, maine imi inchid contul.