[ad_1]

Un grand nombre de banques, de coopératives de crédit et d’autres institutions financières ont simplement poussé les clients vers de nouvelles plates-formes de banque en ligne qui leur ont demandé de réinitialiser les mots de passe de leur compte en saisissant un nom d’utilisateur et un autre identifiant statique, comme les six premiers chiffres de leur numéro de sécurité sociale. (SSN), ou un mélange de SSN partiel, de date de naissance et de nom de famille. Voici un examen plus approfondi de ce qui pourrait se passer (spoiler : les petites banques régionales et les coopératives de crédit sont devenues beaucoup trop dépendantes des caprices de quelques grands fournisseurs de plateformes bancaires en ligne).

Vous pourriez trouver étrange que toute institution financière qui se respecte cherche à authentifier les clients via des données statiques comme un SSN partiel pour les mots de passe, et vous seriez tout à fait justifié de penser cela aussi. Personne n’a d’affaire à utiliser ces identifiants statiques pour l’authentification, car ils sont en vente sur la plupart des Américains à bas prix dans le cybercrime souterrain. La violation d’Equifax a peut-être « rafraîchi » certains de ces magasins de données pour les voleurs d’identité, mais la plupart des adultes américains ont leurs détails statiques (DOB/SSN/MMN, adresse, adresse précédente, etc.) en vente depuis des années maintenant.

Le 16 février, le lecteur de BreachTrace, Brent Hoeft, a partagé une copie d’un e-mail qu’il venait de recevoir de son institution financière Associated Bank, qui, avec plus de 30 milliards de dollars d’actifs, se trouve être la plus importante du Wisconsin en termes de taille d’actifs.

La notice conseillait :

« Veuillez lire et enregistrer ces informations (y compris le mot de passe ci-dessous) pour préparer votre mise à niveau vers les services bancaires en ligne et mobiles.

Notre nouvelle expérience bancaire en ligne et mobile sera officiellement lancée le lundi 26 février 2018.

Nous sommes ravis de le partager avec vous et souhaitons que vous soyez au courant de certains détails importants concernant la transition.

MOT DE PASSE TEMPORAIRE

Utilisez ce mot de passe temporaire la première fois que vous vous connectez après la mise à niveau. Votre mot de passe temporaire est composé des quatre premières lettres de votre nom de famille et des quatre derniers chiffres de votre numéro de sécurité sociale.

XXXX#### [expurgé par moi mais inclus dans l’e-mail]

Remarque : votre mot de passe est tout en minuscules sans espaces.

Une fois la mise à niveau terminée, vous aurez besoin de votre mot de passe temporaire pour commencer le processus de réinscription.
• À compter du lundi 26 février, vous devrez vous connecter à l’aide de votre ID utilisateur existant et du mot de passe temporaire inclus ci-dessus dans cet e-mail. Veuillez noter que vous n’êtes tenu de vous réinscrire qu’aux services bancaires en ligne ou mobiles, mais que vous pouvez accéder aux deux en utilisant le même nom d’utilisateur et le même mot de passe.
• Une fois connecté, vous serez invité à créer un nouveau mot de passe et à établir d’autres fonctions de sécurité. Votre ID utilisateur restera le même.

Hoeft a déclaré qu’Associated Bank semble traiter le nom d’utilisateur du client comme un secret, quelque chose à protéger avec le mot de passe.

« J’ai contacté le service client d’Associated par e-mail et j’ai reçu une explication beaucoup moins satisfaisante selon laquelle le nom d’utilisateur est requis pour la réactivation et que, puisque [le nom d’utilisateur] n’a pas été fourni dans l’e-mail, le processus qu’ils utilisent est en fait sécurisé, », a déclaré Höft.

Après avoir parlé avec Hoeft, j’ai tweeté pour savoir s’il fallait nommer et faire honte à la banque avant qu’il ne soit trop tard, ou peut-être essayer de leur parler en privé. La plupart des lecteurs ont indiqué qu’attirer l’attention sur le problème avant la transition pourrait causer plus de mal que de bien, et qu’au moins jusqu’au 26 février, contacter certaines banques en privé était la meilleure idée (c’est ce que j’ai fait).

L’Associated Bank n’a pas voulu dire qui était leur nouveau fournisseur de plate-forme de banque en ligne grand public, mais ils ont dit que c’était l’un des plus importants. J’ai compris que cela signifiait soit FIS, Fiserv ou Jack Henry, qui contrôlent collectivement environ 70 % du marché des processeurs de base bancaires (selon FedFIS.com, Fiserv est de loin le plus important).

Image: Fedfis.com

Le responsable de la sécurité de l’information de la banque, Joe Smits, a déclaré que le nouveau fournisseur de plate-forme bancaire en ligne grand public d’Associated exigeait que les clients nouveaux et existants se connectent avec un nom d’utilisateur et un mot de passe temporaire – ce qui a été décrit comme un choix parmi des éléments de données secondaires et statiques sur les clients – comme le premier six chiffres du SSN ou de la date de naissance du client.

Smits a ajouté que la banque avait initialement commencé à envoyer par e-mail aux clients les instructions pour trouver leurs mots de passe temporaires, mais a ensuite décidé que le courrier américain serait une option plus sûre et a envoyé le reste de cette façon. Il a déclaré qu’environ 15% seulement des clients de l’Associated Bank (environ 50 000) avaient reçu des instructions sur leurs mots de passe temporaires par e-mail.

J’ai suivi Hoeft pour savoir comment s’est déroulée sa mise à niveau bancaire en ligne à l’Associated Bank. Il m’a dit qu’en visitant le site, il a demandé son nom d’utilisateur et le mot de passe temporaire (les quatre premières lettres de son nom de famille et les quatre derniers chiffres de son SSN).

« Après être entré, on m’a dit de saisir à nouveau mon mot de passe temporaire, puis de créer un nouveau mot de passe », a déclaré Hoeft. « On m’a ensuite demandé de sélectionner 5 questions de sécurité et de fournir des réponses. Ensuite, on m’a demandé un numéro de téléphone de vérification. En entrant, j’ai reçu un SMS avec un code de vérification à 4 chiffres. Après avoir entré le code, il m’a demandé de terminer les informations de mon profil, y compris le nom, l’e-mail et le téléphone de jour. Après cela, j’ai été directement redirigé vers mon compte bancaire en ligne.

Hoeft a déclaré qu’il semble que l’étape de « vérification » qui était censée créer un contrôle de sécurité supplémentaire n’ajoutait pas vraiment de sécurité du tout.

« Si quelqu’un pouvait entrer avec le mot de passe temporaire, il pourrait créer un nouveau mot de passe, remplir toutes les informations du code de sécurité, puis fournir son numéro de téléphone pour recevoir le code de vérification », a déclaré Hoeft. « Armés du code de vérification, ils pourraient alors accéder directement à mon compte bancaire en ligne. »

AUTRES BANQUES

Une simple recherche en ligne a révélé qu’Associated Bank n’était pas seule : plusieurs institutions passaient à une nouvelle plateforme bancaire en ligne le même jour : le 26 février 2018.

My Credit Union est également passé à un nouveau service bancaire en ligne en février, affichant un avis indiquant que tous les clients devront se connecter avec leur nom d’utilisateur actuel et les quatre derniers de leur SSN comme mot de passe temporaire.

Customers Bank, une banque de 10 milliards de dollars avec près de deux douzaines de succursales entre Boston et Philadelphie, a également déclaré aux clients qu’à partir du 26 février, ils devraient utiliser un mot de passe temporaire – les six derniers chiffres de leur numéro de sécurité sociale – pour se réinscrire en ligne. bancaire. Voici une partie de leurs conseils, publiés en PDF sur le site de la banque :

• Vous remarquerez peut-être un nouveau logo co-marqué pour Customers Bank et BankMobile (Division Customers Bank).
• Votre nom d’utilisateur actuel pour Banque en direct restera le même dans le nouveau système ; cependant, il doit être entré en toutes lettres minuscules.
• La première fois que vous vous connectez au nouveau système de banque en ligne, votre mot de passe temporaire est composé des 6 derniers chiffres de votre numéro de sécurité sociale. Votre temporaire
le mot de passe expirera le vendredi 20 avril 2018. Assurez-vous de vous connecter avant cette date.
• Les services bancaires en ligne comprennent une authentification multifactorielle qui devra être rétablie lors de la connexion initiale au système.
• Votre nom d’utilisateur et votre mot de passe pour les services bancaires en ligne seront les mêmes pour les services bancaires mobiles. Remarque : Avant d’accéder aux nouveaux services Mobile Banking,
vous devez d’abord vous connecter à notre système bancaire en ligne amélioré pour changer votre mot de passe.
• Vous devrez également inscrire votre appareil mobile, soit par Banque en direct en visitant l’option Centre bancaire mobile, soit directement sur l’appareil via le
application. Les deux options nécessiteront une authentification supplémentaire.

Columbia Bank, qui compte 140 succursales à Washington, en Oregon et en Idaho, a également changé de vitesse le 26 février, mais a utilisé une approche plus sensée : envoyer aux clients un nouvel identifiant d’utilisateur, un identifiant d’organisation et un mot de passe temporaire dans deux envois distincts.

UNE ANALYSE

Mon tweet sur l’opportunité de nommer Associated Bank a attiré l’attention d’au moins deux régulateurs de sécurité du secteur bancaire, dont chacun a parlé avec BreachTrace à condition de ne pas être identifié par son nom ou son agence de réglementation.

Les deux ont déclaré que leurs agences utiliseraient les exemples ci-dessus dans les séances d’information avec les institutions membres comme instruction sur la façon de ne pas effectuer de transactions bancaires en ligne en toute sécurité. Les deux ont également déclaré que les banques de petite et moyenne taille sont massivement redevables à leurs fournisseurs de plateformes, et de nombreuses banques acceptent simplement les défauts au lieu de faire pression pour des alternatives plus solides.

« J’ai beaucoup de communications directes avec les responsables de la sécurité de l’information, les responsables de la sécurité et les responsables de l’information dans de nombreuses institutions », a déclaré un régulateur. « Beaucoup d’entre eux ont massivement simplifié leurs exigences en matière de mot de passe. Beaucoup de petites institutions ne comprennent souvent pas le risque lié aux services bancaires en ligne, c’est pourquoi elles essaient de tout sous-traiter à quelqu’un d’autre. Mais ils ne peuvent pas externaliser la responsabilité.

L’un des régulateurs avec qui j’ai parlé a suggéré que toutes les banques qu’ils avaient vues passer à une nouvelle plate-forme bancaire en ligne le 26 février étaient des clients de Fiserv – le plus grand fournisseur de plate-forme bancaire en ligne du pays.

Fiserv n’a pas répondu aux questions spécifiques de cette histoire, déclarant uniquement dans une déclaration écrite que : « Fiserv s’associe régulièrement à des institutions financières pour fournir des capacités qui aident à atténuer et à gérer les risques, à améliorer l’expérience client et à permettre aux banques de rester compétitives. Diverses méthodologies sont utilisées par les institutions pour inscrire et authentifier de nouveaux utilisateurs sur les plateformes bancaires en ligne, et l’authentification par mot de passe est l’une des multiples couches de sécurité utilisées pour protéger les clients.

Les deux régulateurs du secteur bancaire avec qui j’ai parlé ont déclaré qu’un problème fondamental est que de nombreuses petites institutions traitent malheureusement encore les noms d’utilisateur comme des codes secrets. Je dénonce cette pratique depuis des années, mais beaucoup trop de banques traitent les noms d’utilisateur des clients comme faisant partie de leur sécurité, même si la plupart des clients choisissent quelque chose de très proche de la première partie de leur adresse e-mail (avant le signe « @ »). J’ai même embroché certains des géants de l’industrie du transport aérien pour avoir fait la même chose (United le fait avec son numéro de compte de fidélisation super secret).

« Je pense que ce sera l’occasion pour nous de les coacher là-dessus », a déclaré un régulateur bancaire. « Ce processus doit impliquer la génération de mots de passe aléatoires et cela doit être une procédure d’exploitation standard. Si vous pouvez raccourcir la sécurité simplement en fournissant des données statiques comme le SSN, tout est foutu. Certaines de ces organisations ont une structure de contrôle si médiocre depuis si longtemps qu’elles ne comprennent même pas à quel point c’est grave.

L’autre régulateur a déclaré qu’un autre défi est de savoir combien de temps les banques doivent attendre avant de désactiver les comptes si les consommateurs ne se connectent pas au nouveau système bancaire en ligne.

« Ce qu’ils vont faire, c’est configurer tous ces utilisateurs sur ce tout nouveau système et leur donner des mots de passe par défaut », a déclaré le régulateur. « Certains individus vont se connecter à leur compte bancaire tous les jours, d’autres une fois par mois et parfois de façon assez aléatoire. Alors, comment vont-ils contrôler cette fenêtre d’opportunité ? À un moment donné, peut-être après quelques semaines, ils doivent simplement désactiver ces autres comptes et faire en sorte que les gens recommencent à zéro.

Le premier régulateur a déclaré qu’il semble que de nombreuses banques (et leurs fournisseurs de plateformes) s’attachent particulièrement à rendre ces transitions aussi transparentes et indolores que possible pour l’institution financière et ses clients.

« Je pense qu’ils cherchent à faciliter la tâche de leurs clients et à atténuer les retombées car ils reçoivent moins d’appels en colère et frustrés », a déclaré le régulateur. « C’est leur motivation plus qu’autre chose. »

QUE POUVEZ-VOUS FAIRE?

Bien qu’il puisse sembler que les banques aient plus peur des appels de leurs clients que des retombées des voleurs d’identité et des pirates informatiques, n’oubliez pas que vous, le consommateur, pouvez faire vos achats avec votre portefeuille et devez transférer vos fonds vers une autre banque si vous n’êtes pas satisfait de la sécurité. pratiques de votre établissement actuel.

Aussi, ne réutilisez pas les mots de passe. En fait, dans la mesure du possible, n’utilisez pas du tout de mots de passe. Au lieu de cela, choisissez des phrases secrètes plutôt que des mots de passe (rappelez-vous, la longueur est la clé). Malheureusement, les phrases secrètes peuvent ne pas être possibles car certaines banques ont choisi de tronquer les mots de passe après un certain nombre de caractères et d’interdire les symboles spéciaux.

Si vous êtes le genre de personne qui aime utiliser le même mot de passe sur plusieurs sites, alors un gestionnaire de mots de passe est fait pour vous. En effet, les gestionnaires de mots de passe choisissent pour vous des mots de passe forts, longs et sécurisés et la seule chose dont vous devez vous souvenir est un mot de passe principal unique.

Veuillez considérer toutes les options d’authentification en deux étapes ou à deux facteurs que votre institution financière peut offrir, et assurez-vous d’en profiter pleinement lorsqu’elles seront disponibles. Demandez également à votre banque d’exiger un mot de passe verbal unique avant de discuter des détails de votre compte par téléphone ; cela empêche quelqu’un d’appeler votre banque et de convaincre un représentant du service client qu’il est vous simplement parce qu’il peut régurgiter vos informations personnelles statiques.

Enfin, prenez des mesures pour empêcher votre sécurité d’être piratée par votre opérateur de téléphonie mobile : consultez les conseils de la semaine dernière sur le blocage des escroqueries de transfert de numéro de mobile, que les voleurs utilisent parfois pour retirer des comptes bancaires piratés.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *