it-swarm-vi.com

Mật khẩu có được bảo vệ PDF có an toàn cho tệp đính kèm bảng sao kê ngân hàng không?

Ngân hàng của tôi gửi email bản sao kê hàng tháng cho tôi bằng mật khẩu được bảo vệ PDF. Đây có phải là phương pháp an toàn để truyền nội dung nhạy cảm như bảng sao kê ngân hàng không?

16
zundarz

Không, việc sử dụng mật khẩu được bảo vệ PDF đơn giản là không đủ tốt cho dữ liệu nhạy cảm.

Như những người khác đã tuyên bố, phiên bản mới hơn của PDF tiêu chuẩn sử dụng các phương thức mã hóa tốt hơn nhiều so với ban đầu, tuy nhiên, mật khẩu trên một tệp (thậm chí là mạnh) sẽ luôn dễ bị tấn công Tại thời điểm này, bạn chỉ hy vọng máy tính của họ đủ chậm để đến lúc họ bẻ khóa mật khẩu (hy vọng mạnh) của bạn, thông tin không liên quan. Đó là rất nhiều 'hy vọng-s.' Giả sử báo cáo ngân hàng hàng tháng, và một mật khẩu dưới 50 ký tự, bảo mật tài liệu của bạn bắt đầu nghe gần như ngây thơ cười.

Điều này cũng có thể tạo ra rủi ro bảo mật theo những cách khác tùy thuộc vào nơi ngân hàng lấy mật khẩu. Tôi biết một ngân hàng làm điều gì đó tương tự như thế này và sử dụng mật khẩu tài khoản của bạn để mã hóa tài liệu, do đó bạn chỉ phải nhớ một mật khẩu. Điều này có nghĩa là họ đang lưu trữ mật khẩu tài khoản của bạn trên máy chủ. Nó có thể được mã hóa và có thể không, nhưng bằng cách nào đó có thể an toàn khi cho rằng bất kỳ kẻ tấn công nào quản lý để xâm nhập vào máy chủ ngân hàng của bạn và nhận được một bãi chứa cơ sở dữ liệu hiện có mật khẩu của bạn. Không có lý do gì để lưu mật khẩu như bất cứ thứ gì ngoại trừ băm muối (cùng một ngân hàng gửi email cho bạn mật khẩu của bạn nếu bạn quên nó ... yup, trong một email văn bản gốc).

Nếu bạn có thể, hãy gọi cho ngân hàng của bạn và yêu cầu họ bắt đầu gửi cho bạn bản sao kê được mã hóa bằng hệ thống khóa công khai. PGP S/MIME đều tuyệt vời và sẽ đặt thêm một chút bảo mật trong tay bạn (đó sẽ là công việc của bạn bảo vệ khóa riêng của bạn, không phải ngân hàng của bạn).

Nhiều ngân hàng cũng cung cấp mã thông báo RSA (hoặc công nghệ tương đương) với giá tương đối rẻ. Mặc dù gần đây đã có một số vi phạm bảo mật (nghiêm trọng) với RSA, đây vẫn là một bổ sung tuyệt vời cho bảo mật tài khoản của bạn nếu ngân hàng của bạn cung cấp.

7
Sam Whited

Tôi thậm chí sẽ không tin tưởng vào sự bảo mật của nó ngay cả khi nó không có thông tin cá nhân quý giá như vậy trong đó.

Tiêu chuẩn mã hóa mà Adobe sử dụng cho các phiên bản mới nhất hoàn toàn không tệ như Graham đã đề cập, nhưng vấn đề lớn hơn là việc triển khai thực tế của nó. (Mặc dù việc triển khai trong Adobe 8 thực sự tốt hơn một chút mặc dù nó chỉ được mã hóa 128 bit như chính Adobe đã thừa nhận).

Elcomsoft tiếp thị một sản phẩm dành riêng cho PDF tránh mật khẩu (không nhất thiết phải truy xuất) hoạt động khá tốt theo các thử nghiệm mà bên thứ 3 tôi thấy (bao gồm cả CMU).

Kết hợp thực tế đó với khả năng mật khẩu có thể không an toàn/dễ đoán, thực tế là nó được gửi theo kiểu có thể dự đoán được đến một tài khoản có thể bị xâm phạm và thực tế là họ lưu trữ bất cứ điều gì về bạn trong đó và đó là một công thức cho thảm họa/một ngân hàng mới/ít nhất là một chính sách mới cho họ.

5
doyler

Tôi đoán rằng nhiều ngân hàng không coi báo cáo hàng tháng là "dữ liệu nhạy cảm", theo như tôi biết rất nhiều ngân hàng có thanh khá thấp khi nói đến báo cáo hàng tháng.

Như những người khác đã nói, tôi nghĩ PDF mã hóa không phải là tốt nhất,

2
Ali