14年前我警告MyBank(这不是我的一个客户;我是它的一个)关于使用社会安全号码作为可靠的识别。银行的安全负责人表示,他将考虑它。从那时起,安全MyBank每况愈下。这仍然是一个身份盗窃的秘方。
在最近的一次tele-banking事务,我奉命进入我的银行账户和社会安全号码。MyBank的新的和改进的系统使用两块公开可用的远程识别信息作为确凿的证据。当我面对MyBank,花了30天的时间来解决这个安全缺口。
上个月,MyBank向我保证其网上银行系统是固定的。登录安全是不错的:长,秘密银行生成的帐号,我的联邦税号、一个4位数的PIN和饼干。作为一个测试,我的钱转移到美国运通和支付,我的工作人员的成员。
几天后,艾尔的尖叫,“我的工资在哪里?”I had proof I sent it. Amex also said it had not been paid. I had proof I paid it. I called MyBank and asked for proof of receipt of funds by Amex and Al's bank, but was told the bank does not use acknowledgements from online transfers. The most disturbing security aspect is that no one at MyBank could tell me where my money was when it was not in my account and not in Amex's or Al's.
然后安全MyBank跌至新低。合理的登录安全被粉碎,漫长的私人代码不再是必需的。现在我公开帐号和只有四位数的销是唯一的防御坐落在互联网上的任何帐户。明显的试图简化安全的用户体验是一个毁灭性的打击。ATM卡只需要一个四位数的密码,但它使用“你拥有的东西,你知道,”标识的口头禅。愚蠢的我期待更好的网上银行安全。
当我再次尝试支付员工,再次受害者。他的钱混乱的迷宫MyBank的基础设施。没有我的知识或批准,银行雇员:(1)取消了我的付款,(2)发表了一份付款从我的帐户一个叫做“强迫检查”,(3)撤回了重复支付我的账户没有我的授权和沉积在艾尔的账户,和(4)取消了另一个支付。这个安全的过犯的净效应是一连串的空头支票,透支和艾尔的其他账户的冻结。
就更糟了。艾尔说MyBank告诉他,钱从他的帐户删除(未经授权或通知),因为我的公司账户资金不足支付他的薪水。这个安全漏洞是在任意数量的明显违反隐私和银行法或兼容的治理除了绝对的谎言。
如果其中任何一个一个孤立的事件,所以要它,但是我的大漩涡卷入一连串的重大安全漏洞。MyBank选择使用最简单和最弱的识别成为可能。所有的三个基本安全原则——机密性、完整性和可用性,通过可怜的应用程序设计,违反了令人费解的运动的钱,社会工程和拒绝基金。看到两个主要远程银行系统设计这样的洞表明,应用程序开发人员使用弱安全作为一个简单的客户体验的权衡。
安全性和用户体验(功能)是成反比的,但似乎MyBank采取了最简单的方法:听顾客抱怨安全壁垒,消除或减少其功效,看看会发生什么。我希望现在,大多数主要金融机构已经穿过边界安全意识的关注。希望我的经验可以作为一个模型在不该做什么。
Schwartau是一个安全的作家、讲师和Interpact总统安全意识咨询公司。他可以达成的winn@thesecurityawarenesscompany.com。