我在金融公司的在线账户安全吗？

Question

最近，我在一家位于印度的经纪公司开设了一个账户，但不幸的是，在我看来，该公司并没有采取好的措施来确保安全。但我可能错了，因为我不是这个领域的专家。因此，我寻求帮助。

该公司在他们的网页登录，限制密码长度最多12个字符，并要求我回答5个愚蠢的问题，例如：“你母亲的娘家名是什么？”作为2FA的衡量标准。出于某种原因，在他们的FAQ网页上，他们还建议用户可以用"a“回答这5个问题，因为这将更容易记住。作为一个额外的安全措施，如果我输入错误的密码超过3次，我的帐户将被锁定，我将不得不重置我的帐户使用5个安全问题。在他们的隐私策略中，他们只提到了一个关于帐户安全的事实，那就是他们使用SSL加密。他们从来没有提到他们是否做过任何安全审计，由退伍军人，诺顿，或其他第三方。

他们的网络安全松懈吗？如果是这样的话，那么像他们这样的机构应该采取多少最低限度的措施来确保其客户账户的在线安全呢？

Answer 1

我是IT安全专业的IT审计师。你是正确的关注，因为从你的描述，网站是不安全的。具体的弱点说明如下：

不再安全的SSL协议的使用

安全套接字层(，SSL)由于降级攻击而不再安全，例如传输层安全性(，TLS)的早期版本存在类似的问题。如果可行，该网站应该使用TLS 1.2。

没有提及网站使用证书的情况

证书用于验证登录到的网站的身份。没有一个有效的证书，你不能确定你是签署到真正的，合法的网站，因为该网站很可能是一个仿冒网站设计的真正的网站。为了使您的敏感数据安全起见，您需要确认的关键信息是：

1. 用于签署证书的方法.密钥长度和加密方法
2. 谁是签署证书的证书颁发机构( CA )，以及浏览器是否信任此CA。
3. 证书名称是否与证书的网站名称和过期日期匹配尚未通过。

其他关键因素-虽然没有提到，但您希望验证-是：

密码要求(长度除外)

理想情况下，密码要求应该包括复杂性要求，例如混合大写字母、小写字母、数字和特殊字符。其目的是减轻暴力攻击，使用自动化工具尝试所有可能的组合，直到找到正确的密码。

防范基于web的攻击

您正在发送财务数据的网站应该被设计成对常见的基于web的攻击(如XSS、注入攻击和固定攻击)的防范措施。在这方面，安全措施将以正确验证用户输入为中心。