更新了挪威银行的TLS评级

在2月回到后,我看看了这个状态TLS.(“https.“)挪威银行网站的安全性。结果非常多变。自此以来,七家银行提高了他们的安全,三个仍然容易受到已知安全缺陷的影响。

更新结果由Qualys的安全额定值排序。最好的评级存在A +而最低的是F。Qualys的评级反映了严格的安全建议和最佳实践。银行自己的服务器广播了所测试的信息。

此列表仅包含自原始文章以来已更改的评分。检查原始文章全部列表

自2月以来改善了评级的银行

  • BN银行(最多一个来自f):增加了对TLS 1.2,前进保密和安全重新谈判的支持。已删除了对较旧的CIPHER和修补的已知漏洞的支持。
  • 银行2.(从C)最多):增加了对TLS 1.2的支持,转发保密性和安全重新谈判。已删除对较旧的CIPHERS的支持。
  • eika gruppen.(从C)最多):增加了对TLS 1.2的支持,转发保密性和安全重新谈判。已删除对较旧的CIPHERS的支持。
  • 银行挪威人(从B到A):增加了对前向保密的支持。已删除对较旧的CIPHERS的支持。
  • 卫生银行背心(达到A-):增加了对前向保密的支持。
  • 丹麦银行(最多a-从b):仍然不使用HTTPS默认使用,也不支持前向保密。
  • verdibanken.(最多的b):仍然没有扩展验证,支持更少的旧密码,没有支持前向保密。

两家银行从F类别提升到A和B.两个银行从C到A移动到A和B到A或A-。除Danske Bank之外的所有目录默认使用HTTPS。善于改善您的安全全部!

没有改变更好

一些银行必须在线安全以外的地区忙碌。Itavisen拿了我的文章联系了每个低等级的银行(在挪威语)征求意见。他们从一些银行获得了一些非承诺答案,并从其他银行完成驳回。这些是自2月原始文章退回以来尚未更新的银行:

  • gjensidige(f):不接受现代TLS 1.2,并接受弱rc4密码。容易受到贵宾犬的攻击。没有前锋保密。
  • klp.(f):不接受现代TLS 1.2,并接受弱rc4密码。由于重新谈判而容易受到贵宾犬的攻击和攻击者的攻击。薄弱的SHA-1证书链。没有前锋保密。
  • Nordea.(f):默认情况下没有HTTPS。不接受现代TLS 1.2,并接受弱RC4密码。容易受到贵宾犬的攻击。薄弱的SHA-1证书链。没有前进保密也不安全重新谈判。

很高兴看到该列表现在比2月更短。但是,如果您考虑在哪里进行银行业务:从第一个列表中的选项中选择,而不是此。

了解风险

这里列出的测试结果来自这些银行自己网站的首页,也就是象征性的主入口。从他们的银行首页,一个用户被链接到一个登录表单来执行他们的网上银行。这个登录表单通常托管在不同的域和服务器上(由不同的承包商)。这里还没有测试登录表单服务器的安全性。在一个完美无瑕的安全链中,头版的安全可能会成为最薄弱的一环。如果他们可以劫持登录表单的链接,并显示他们自己的表单,为什么有人会攻击通常更安全的服务器——登录页面/服务器?

Danske Bank和Nordea默认不要使用HTTPS。它们很容易针对中间攻击的目标(Aitm)因为它们根本没有提供保护。其他额定评级和已知漏洞的银行需要更多努力攻击。

在AITM中,攻击者将拦截通过公共Wi-Fi网络(咖啡厅,机场,学校等)或互联网(更复杂和有针对性的攻击)的流量。截获的流量可以在攻击者的控制下重定向到服务器,或者更改过传输途中以修改登录链路。大多数访问者可能不会反应他们的银行到mybanklogin.com(攻击者的网站)而不是login.mybank.com(银行的网站)。可以使恶意页面看起来像银行的实际登录页面,访问者将继续填写其登录详细信息正常。攻击者的网站可以为他们的网站获得证书,因此它看起来很安全。

不采取简单步骤减轻其主要入口安全风险的银行揭示了他们内部安全政策的许多。如果主入口是无人视力的或守卫着差,那么这对更敏感的系统有什么看法?