it-swarm-id.com

Apakah file dilindungi kata sandi PDF aman untuk lampiran laporan bank?

Bank saya mengirim email pernyataan bulanan saya kepada saya dalam lampiran kata sandi PDF. Apakah ini metode aman untuk mentransmisikan sesuatu yang sensitif seperti pernyataan bank?

16
zundarz

Tidak, penggunaan file yang dilindungi kata sandi PDF tidak cukup baik untuk data sensitif.

Seperti yang telah dinyatakan orang lain, versi yang lebih baru dari standar PDF menggunakan metode enkripsi yang jauh lebih baik daripada yang semula mereka lakukan, namun, kata sandi pada suatu file (bahkan yang kuat) akan selalu rentan terhadap kekerasan. memaksa serangan. Pada titik ini Anda hanya berharap komputer mereka cukup lambat sehingga pada saat mereka memecahkan kata sandi Anda (semoga kuat), informasi itu tidak relevan. Itu banyak 'semoga saja.' Dengan asumsi laporan bank bulanan, dan kata sandi di bawah 50 karakter, keamanan dokumen Anda mulai terdengar sangat naif.

Ini juga bisa menciptakan risiko keamanan dengan cara lain tergantung dari mana bank mendapatkan kata sandi. Saya tahu bank yang melakukan hal serupa dengan ini dan menggunakan kata sandi akun Anda untuk mengenkripsi dokumen, sehingga Anda hanya perlu mengingat satu kata sandi. Ini berarti mereka menyimpan kata sandi akun Anda di server. Ini mungkin dienkripsi, dan mungkin juga tidak, tetapi mungkin aman untuk mengasumsikan bahwa penyerang yang berhasil masuk ke server bank Anda dan mendapatkan dump database sekarang memiliki kata sandi Anda. Tidak ada alasan untuk menyimpan kata sandi selain hash asin (bank yang sama mengirimi Anda kata sandi Anda jika Anda lupa ... ya, dalam email plaintext).

Jika Anda bisa, hubungi bank Anda dan minta mereka untuk mulai mengirimi Anda laporan Anda yang dienkripsi menggunakan sistem kunci publik. PGP dan S/MIME keduanya hebat, dan akan memberikan sedikit keamanan di tangan Anda (itu akan menjadi tugas Anda untuk lindungi kunci pribadi Anda, bukan bank Anda).

Banyak bank juga menyediakan token RSA (atau teknologi setara) dengan harga yang relatif murah. Meskipun ada beberapa pelanggaran keamanan (serius) dengan RSA khususnya belakangan ini, ini masih merupakan tambahan yang bagus untuk keamanan akun Anda jika bank Anda menawarkannya.

7
Sam Whited

Saya bahkan tidak akan mempercayai keamanannya bahkan jika itu tidak memiliki informasi pribadi yang berharga di dalamnya.

Standar enkripsi yang digunakan Adobe untuk versi terbaru tidak buruk sama sekali seperti yang disebutkan Graham, tetapi masalah yang lebih besar adalah implementasi sebenarnya dari itu. (Meskipun implementasi dalam Adobe 8 sebenarnya sedikit lebih baik meskipun itu hanya 128 bit enkripsi seperti yang diakui Adobe sendiri).

Elcomsoft memasarkan produk khusus untuk PDF penghindaran kata sandi (tidak harus mengambil kembali) yang berfungsi dengan sangat baik menurut tes yang telah saya lihat oleh pihak ke-3 (termasuk CMU).

Menggabungkan fakta itu dengan kemungkinan bahwa kata sandi itu sendiri bisa menjadi tidak aman/mudah ditebak, fakta bahwa kata itu dikirim dengan cara yang dapat diprediksi ke akun yang dapat dengan sendirinya dikompromikan, dan fakta bahwa mereka menyimpan sesuatu tentang Anda di dalamnya dan itu adalah resep untuk bencana/bank baru/kebijakan baru untuk mereka paling tidak.

5
doyler

Saya kira banyak bank tidak menganggap laporan bulanan sebagai "data sensitif", sejauh yang saya tahu banyak bank memiliki bilah yang agak rendah dalam hal laporan bulanan.

Seperti yang orang lain katakan, saya pikir PDF enkripsi bukan yang terbaik,

2
Ali