¿Seguridad en HSBC? (internet) [b3co.com]

entradas

comentarios

fotoblog

Entradas recientes

[fotoblog]Bariloche [12]

[fotoblog]Estación Penitentes [11]

[viajes]Carretera Trasandina [5]

[fotoblog]Estación Retiro (Buenos Aires) [10]

[viajes]Bogotá [8]

[fotoblog]Casa Presidencial (Bogotá) [1]

[personal]Pursuit [9]

[mexico/mexicanos/df]Ópera en la Central Camionera [9]

[mexico/mexicanos/df]Se busca peluquería [17]

[fotoblog]Desesperación [9]

[fotoblog]La Pedrera [8]

[viajes]Boca Chica '10 [6]

[mexico/mexicanos/df]Los mariachis Kamikazes [4]

[fotoblog]Golden Gate [17]

[mexico/mexicanos/df]El DF cerrado [7]

Ultimos comentarios

Vacaciones[42]

Bariloche[12]

GSM de Telcel caido[47]

Busca tesoros[141]

Guia de tips para Viajar a Europa[621]

5 blogs aleatorios

Recibe cada entrada nueva del blog en tu mail

estadísticas de b3co.com

1197 entradas

15470 comentarios

en promedio hay 12.9 comentarios por post

Felizmente hospedado en bluehost.com

Licencia de los textos:

Licencia de las fotografias:

si alguien quiere invitación a dopplr no dude en contactarme

¿Seguridad en HSBC?
publicado por beco en internet hace 49 meses(4.08333333333 años) [5-09-06 01:32:59]

Desde que me dí de alta en HSBC net vi algo raro: en vez de preguntarte tu contraseña tal cual (alfanumérica de 11 caracteres) te piden tres caracteres al azar:

¡¿WTF?!

Esto aumenta considerablemente las facilidades de acceso ilegítimo al sistema.

Hablando con números tenemos que:

- Si la contraseña es de 11 caracteres con una base alfanumérica (26 letras + 10 números = 36 caracteres posibles) adivinar la contraseña tiene una probabilidad de 1/36¹¹ que es algo asi como 1/3.719×10⁴¹

- Ahora si solo piden tres caracteres (aleatoriamente) tenemos que las probabilidades de adivinar son: 1/36³ lo cual es algo asi como 1/46656 lo cual es mucho más grande que 1/3.719×10⁴¹

En este caso se pueden eliminar las combinaciones de 11 en 3 (11 C 3), pues el universo de posibilidades contempla los mismos 36 caracteres posibles, como el Cóndor me hizo ver.

Sé que de todas formas 1/46656 es muy chico como para adivinarle por fuerza bruta pero con muchos otros métodos (estadísticos, sociales, ...) las probabilidades aumentan de forma considerable.

¿Esto es digno de llamarse seguridad bancaria? R: NO

EnvÌa a:

del.icio.us

enchÌlame

Envía este artículo a un amigo
Funcionalidad en fase b3ta
su email:
tu nombre:
comentario (opcional):

Comentarios (15)...

#1 »levhita hace 49 meses(4.08333333333 años) [5-09-06 02:14:42] escribió:

Sere ingenuo, pero creo que el concepto es evitar que se robe la contraseña con keylogers.

Ya que el cracker puede tener los caracteres, pero puede no saber a que posiciones corresponden.

Lo que sí es que las posiciones son muy pocas, más que nada porque siempre van en orden: 2 5 7, 1 3 9, 2 4 7. Así que la combinatoria es muchisimo menor.

Me sirve de consuelo que te manda al demonio como al tercer intento.

Aunque definitivamente matá todo el poder de una contraseña bien hecha. Aunque aquí entre nos, ¿que tanta gente tiene una contraseña que se pueda considerar fuerte?

permalink | pero también ha comentado por aca →

#2 »Sergio G. hace 49 meses(4.08333333333 años) [5-09-06 03:59:26] escribió:

Mmm....¿probaste a darle refresh a la página y ver si te pedía la misma posición de caracteres?

Si pide otros caracteres, entonces tienes que meter en la ecuación para un posible ataque de fuerza bruta, la aletoriedad de las posiciones.

Me parece una solución barata para evitar los keyloggers de aquellos que usen computadoras en áreas públicas o de oficina. También me parece una solución barata ligeramente efectiva para los problemas de "phishing".

Vamos, que con un ataque de phishing, tu contraseña de 1/3.719×1041 combinaciones... no creo que sirva de mucho. Está técnica reduce el éxito del phishing en algunos casos. Digo en algunos casos, porque el problema del phishing es el factor humano. Imposible de solucionar.

permalink | pero también ha comentado por aca →

#3 »levhita hace 49 meses(4.08333333333 años) [5-09-06 05:24:46] escribió:

Tienes razón, en caso de phishing lo más posible es que la gente diga, "ah que bien!, ya no me pide la contraseña con ese estupido formato".

Y sí te envia posiciones distintas cada vez que refrescas, pero... cuando envias y estuvo equivocado te la vuelve a pedir con los mismos caracteres. Supongo que por "usabilidad", al menos para mi lo hace más usable, pero definitivamente más riesgoso.

Supongo aun falta un rato para la solución que mezcle usabilidad y seguridad.

Espera ya existe, llave publica y privada, así tengo todos mis servers, sólo me pide la contraseña una vez al encender mi maquina y me puedo conectar de lo lindo a todas partes sin estar tecleando cada vez(claro la lap pide contraseña cada que sale el protector de pantalla o la cierro).

Pero... definitivamente no me imagino a mi papa entendiendo las implicaciones de perder su llave privada.

permalink | pero también ha comentado por aca →

#4 »ceronne hace 49 meses(4.08333333333 años) [5-09-06 05:45:16] escribió:

La solución que tiene mi banco de aquí para evitar precisamente eso de los keyloggers es ésta. (particuliers.socgen.com)

http://hugo.ceronne.com.mx/upload/societe_generale.png

- Tecleas tu número de cliente
- Te aparece una ventanita que muestra aleatoreamente los dígitos para introducir tu contraseña.
- Estás obligado a usar el ratón para hacer click en cada uno de los dígitos.

Me imagino esta solución es contra el supuesto caso de que llegara a haber algo parecido a un "keylogger" pero para la pantalla (posición del puntero).

En el caso de santander.com.mx ... es 100% inseguro el sistema de acceso

permalink | pero también ha comentado por aca →

#5 »Sergio G. hace 49 meses(4.08333333333 años) [5-09-06 05:53:34] escribió:

Levhita, como tu lo dices, el factor humano siempre va a ser problema.

Cuando Telmex empezó con la entrega de las facturas en formato digital para empresas, las entregaba en un archivo encriptado con PGP. Las mandaba por mensajería, junto con tu factura o podías bajar el archivo por Internet.
De eso hace más de 5 años.

¿Hasta aqui todo brillante no?. ¡PGP!. El software gratuito de encriptado más poderoso!

Resulta que tu llave privada (y pública of course), ellos te la generaban y te la mandaban a través de tu ejecutivo de cuenta.

Tanta inteligencia, quedó al descubierto, cuando me entregaron mi quesque llave privada... me dieron la de otra compañia.

Eso fue un procedimiento de un área de IT de una megacompañía... que podemos esperar de nuestros padres.

permalink | pero también ha comentado por aca →

#6 »Esparta Palma hace 49 meses(4.08333333333 años) [5-09-06 07:39:48] escribió:

Nada es totalmente seguro en este mundo digital, pero por lo menos estas empresas deberían hacernos sentir mas resguardados por ellos (los proveedores de esos servicio).

Hasta el momento me siento un poco seguro con lo implementa Banorte, que es una combinación de lo que comenta ceronne (no tecleo y mas clickeo de clave), mas la llave (física) generadora de claves basadas en RSA (aleatorias y requerida al momento de acceder).

Disclamer: No soy empleado, ni accionista, ni dueño de Grupo Banorte, el comentario arriba escrito es solo el punto de vista de un usuario más de ese banco.

permalink | pero también ha comentado por aca →

#7 »Rafael hace 49 meses(4.08333333333 años) [5-09-06 11:39:46] escribió:

Pues a mí me gusta el sistema de Bancomer, aunque claro también tiene sus cosas inseguras. En primer lugar tienes que introducir la contraseña definida por el usuario. El usuario tiene también una pequeña tarjeta con (creo) 30 números de 4 dígitos, así que tras comprobar que la contraseña es correcta, pide uno de esos números al azar.
Después, para cualquier operación que implique movimiento de dinero, te pide otra contraseña (clave de operación) y otro número al azar.
A veces es una lata, pero creo que protege tanto de keyloggers como de phishing... hasta donde se puede.

permalink | pero también ha comentado por aca →

#8 »jlguzman hace 49 meses(4.08333333333 años) [6-09-06 07:39:47] escribió:

No se puede esperar mucho de un banco como HSBC que envía correso legítimos de cuentas de yahoo.com y que cuando la gente les hace ver sus fallas e incluso compañías les adviertan sobre sus problemas de seguridad se dediquen a contestar que ellos saben lo que hacen y saben lo que es mejor para sus clientes, cuando claramente han demostrado que no saben nada.

De bancomer existe una página que tal vez hayan visto y se llama www.fraudesbancomer.com.mx.

El phishing es lo más complicado de cubrir para los bancos pero afortunadamente ya hay más formas.

permalink | pero también ha comentado por aca →

#9 »Jose Luis Loya hace 49 meses(4.08333333333 años) [7-09-06 11:31:41] escribió:

Pues seguridad esta por verse, en realidad muchas veces el factor humano si tiene que ver, pero tambien tiene que ver el sistema utilizado por la pagina... Ahy muchos metodos aparte de saber el keylogger

Muchas veces las sesiones que utilizan no expiran (Por lo que si estas en una inalambrica sniffeadno la red, puedes falsificar tu session por la de otro)... Lo del numero aleatorio, bla nosotros podemos especificar siempre el mismo simplemente interceptando la peticion y especificando que los datos que me pidieron fueron "este, este y este"... a no ser que el servidor cree un archivo o guarde un dato para cada ip que se conecte....

Ahorita conosco pishers mas avanzados, que te espian en tiempo real, instalan virus supuestamente siendo programas de difusion del banco para mejorar la seguridad aunque en realidad lo que hacen es un montaje detras de eso ahy un backdoor que se esta actualizando a un o varios servidores php metiendo datos de las peticiones que se han hecho, sesiones, cookies... Creanme esto es realmente peligroso, despues les envio un mail con todos los datos.. Saludos.

Jose Luis Loya
jl.loya@gmail.com

permalink | pero también ha comentado por aca →

#10 »juan hace 48 meses(4 años) [10-09-06 06:15:10] escribió:

Eso y que también ue posibilidades hay de que alguien conozca tu nombre de usuario.. ya que recordemos que antes de la contraseña te pide un usuario que es personalizado. Casualmente yo soy actuario y trabajo en HSBC

permalink | pero también ha comentado por aca →

#11 »ANGEL hace 48 meses(4 años) [10-09-06 11:17:03] escribió:

La verdad ojala y los robos se dieran ahora asi pues no corremos riesgo de salir lastimados en un asalto pero no creo que los rateros piensen en tanta complicacion cibernetica ellos solo se paran fuera del cajero y te ponen la pistola en la cabeza ese es mi punto de vista

permalink | pero también ha comentado por aca →

#12 »beco hace 48 meses(4 años) [11-09-06 08:09:32] escribió:

Juan: estoy de acuerdo que el nombre de usuario es "secreto" aunque creo que en este caso, la ingeniería social ayuda mucho. Aunque si: tienes razón, esto aumenta las posibilidades y por ende disminuye las probabilidades.

permalink | pero también ha comentado por aca →

#13 »Erick hace 48 meses(4 años) [3-10-06 04:26:31] escribió:

ceronne checa esta página y veras que el sistema de seguriodad de tu banco no sirve para nada http://www.hispasec.com/laboratorio/troyano_captura_banesto.swf

permalink

#14 »German Reyna hace 39 meses(3.25 años) [29-06-07 03:24:01] escribió:

bueno yo pienso que a pesar de todo es mas segura que otros sitios bancarios, para todo hay maña.

http://www.reggnetwork.net/

permalink | pero también ha comentado por aca →

#15 »Jorge Urquiza hace 37 meses(3.08333333333 años) [15-08-07 08:20:06] escribió:

Hace 5 años, con los fondos que tenia en Maxima AFJP, adquiri una renta vitalicia previsional de u$s 813,25 mensuales a HSBC-NEW YORK LIFE. Esta empresa haciendo una interpretacion malintencionada, ilógica, ilegal y antojadiza, sin el minimo de asidero lógico, y contraria a todos los argumentos de venta que esa empresa pregonaba, decidio unilateralmente, abonarme solo la cantidad de u$s 451,81. Obviamente realice una innumerable cantidad de reclamos sin ningun resultado. Incluso ante la Superintendencia de Seguros de la Nacion, quienes me informaron que debia accionar judicialmente. Realice entonces el correspondiente Juicio, con resultados totalmente favorables a mi reclamo. La justicia fallo a favor mio, dandome la razón. Pero la empresa infractora apeló practicamente sin justificacion y perdió nuevamente, quedando asi el fallo firme. La justicia en instancia final falló a favor de que se me pagara lo que correspondía. Aún asi, la empresa riendose de nuestra justicia da a largas al asunto y no cumple el fallo de la misma.Esto mismo que me acontece, le sucede tambien a otros que han puesto sus ahorros en HSBC-NEW YORK LIFE. Además de esta actitud, a contramano de todos su argumentos de venta, jamás ha actualizado estos importes como lo prometía en innumerables tablitas que repartía para que nos decidieramos por ellos. Calculo que algún día recibire lo que por justicia me corresponde. Pero entiendo que es necesario hacer conocer esta circunstancia y cooperar con otros que puedan estar pasando por una circunstancia similar por haber elegido tan mal como yo a HSBC-NEW YORK LIFE, sea en mi pais, como en algun otro.
Aca les dejo mis datos y pongo a vuestra disposicion cualquier copia de todo lo expuesto.
Afectuosisimo.
Jorge Ricardo Urquiza DNI 10.777.351 Mail: urquijuegos@hotmail.com (msn siempre abierto)

permalink | pero también ha comentado por aca →

Hazte leer...

nombre:

mail:

web site:

comentario: (consejos)

Suscribirme a la conversación. Sin SPAM, créeme, odiamos el spam.

Este es un espacio abierto, puedes escribir lo que gustes respetando los siguientes puntos:
1.- Lo que escribas esté relacionado con el post, si gustas contactarme puedes hacerlo aqui.
2.- Todo es cuestionable, aunque ten en cuenta que existen formas de hacerlo, evita las agresiones.
3.- Siempre hay tres verdades: tu verdad, mi verdad y la verdad, por lo que opiniones diferentes no necesariamente son equivocadas.
4.- Los comentarios son una forma de discusión abierta, por lo que al publicar uno, implícitamente entras a una discusión, con todo lo que esto representa (ser debatido, ser cuestionado, se te responda) por cualquier persona.
5.- Recuerda que puedes usar html, para poner una liga escribe:
<a href="http://loquesea.com/articulo_hido.html">Artículo chido</a>.
6.- Si quieres que cada vez que escribas aparezca un avatar con la imagen que gustes, como este:

lee este artículo.
7.- Me reservo el derecho de modificar la aplicación de mi política acerca del rel=nofollow, una cosa es dar la mano y otra que te agarren hasta las amígdalas...

Por si se te hizo tarde…

» Los mariachis Kamikazes [4]

» Golden Gate [17]

» El DF cerrado [7]

» El Mercedes, el Porsche y el vochito [15]

» Dakota Building [13]

» Estatua de la Libertad [32]

» Ciudadano del Mundo [11]

» Against the gods [14]

» Guggenheim [9]

» Her Morning Elegance [12]

» Aplicaciones para BlackBerry [28]

» Don Ramiro [6]

» Una Pasión Desmedida [14]

» 192 páginas [16]

» Rock del Bueno [11]

← Lógica elemental

El saber es adictivo →

¿Qué es esto?

Estás leyendo el blog (o bitácora) personal de beco, en donde periódicamente escribo cualquier cantidad de tonterías que me interesan, sobre todo de internet, matemáticas, fotografía, algo de código y muchas, muchas pendejadas.

Puedes buscar, saltar, revisar las categorías o quitar el polvo de los archivos cronológicamente ordenados.

Puedes suscribirte a los nuevos contenidos de este sitio via RSS agregando esta liga

a tu lector preferido de feeds, o si lo prefieres, puedes suscribirte agregando aqui tu dirección de correo electrónico para que te lleguen automáticamente las actualizaciones. Puedes dejar tu dirección de correo tranquilo, créeme, aqui odiamos el spam.

M + 197

no sepas lo que no sabes -- david gristwood

Eres el visitante #3135092/3135294 | Página creada en 1.248 segundos | Especial agradecimiento a 4b3rr4n73
Felizmente hospedado en bluehost.com