لماذا كلمات السر المصرفي ضعيفا هكذا ؟
https://stackoverflow.com/questions/341290
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
من الاهتمام لأنه يغضب مني ، أنا أتساءل عما إذا كان شخص ما هنا قد يحدث أن العمل في بنك أو تعرف الإجابة على هذا.
لقد استعملت بعض مواقع البنوك على الإنترنت (المملكة المتحدة و أمريكا الشمالية) وهم عالميا فرض نمط كلمة المرور من /[\w\d]{6,8}/ في بعض الأحيان, ربما تحصل على استخدام تؤكد ، ولكن لم تفعل أي وقت مضى يمكنك الحصول على /.{6,20}/ أن تحصل على (أكثر أو أقل) مع عادل عن كل !الموقع المصرفية التي سوف تواجهها.
لقد قيل لي أن هذا هو أن تفعل مع مساحة التخزين ، ولكن الرياضيات لا يبدو لدعم ذلك.على افتراض أن البنوك تبقى الظل الجداول كلمة المرور الخاصة بك سجل دعونا بسخاء يقول في المتوسط 10 في الحساب ، ثم مضاعفة سمح طول كلمة المرور ومضاعفة بت عرض مجموعة الأحرف على 8char 8bit القائمة تنسيق يعني إضافية 11*2*8 = 176 بايت لكل حساب ، لذلك ~168Mb في 1M الحسابات.دعنا نقول انها عملاقة البنك دعم 100M حسابات - التي لا تزال 16Gb فقط!
لا يمكن أن تكون بسيطة يمكن ذلك ؟ بالتأكيد أرقامي خارج القاعدة.
أو هو الجواب هنا أن المصارف والبنوك لديهم أي سبب أفضل على ذلك من أنهم التثاقل الديناصورات.
لا أحد يعرف سبب فني لماذا كلمة المرور www.random.com/forum هو أقوى من واحد بالنسبة للبنك ؟
المحلول
وأنا في الواقع تعمل في أحد البنوك في الوقت الراهن، وعملت في عدد لا بأس به في الماضي.
والسبب الرئيسي أن يحدث هذا هو أنه في عام الناس الذين هم المسؤولين عن اتخاذ هذه القرارات في نهاية المطاف ليسوا الناس الذين ينتهي تنفيذها. "وحدة الأعمال" للبنك هي خبراء الأعمال غير التقنيين الذين ينتهي بهم الأمر اتخاذ هذه القرارات. في كثير من الحالات، سيتم نقض اعتراضات التقنية لأسباب سياسية أو الأعمال التجارية. ولكن هذا ليس حكرا على البنوك. يحدث ذلك في أي صناعة حيث الاعتبارات التقنية غالبا ما تكون غير الشغل الشاغل.
نصائح أخرى
إن القصص التي سمعتها عن بعض البنوك صحيحة...
لأنه كلما كنت أدخل كلمة المرور الخاصة بك:
- ملقم ويب ويرسلها أكثر من نصف كيلومترا كبل تسلسلي إلى قديم 386 في التخلي مكتب تشغيل واجهة المستخدم (تجميعها باستخدام مخصص-اختراق نسخة من Borland C 1.0) التي تم استخدامها من قبل مديري البنوك في عام 1989 الذي لا يملك واجهة تسلسلية لذلك يجب أن تذهب من خلال جهاز آخر يحاكي الضغط على المفاتيح على في لوحة المفاتيح.
- هذا البرنامج إدراج طلبك بما في ذلك كلمة المرور الخاصة بك (مشفرة باستخدام خوارزمية مخصصة أنه ضعيف جدا ليتم استخدامها بعد الآن ولكن الذي لا يمكن تعطيل في البرنامج) في FoxPro قاعدة البيانات على ملقم ملفات NetWare في التخلي عن منصبه في الطرف الآخر من المبنى (فقط لأنه قد ينخفض إلى بت إذا حاولوا نقله.)
- مرة أخرى في 1 التخلي عن مكتب آخر عمره 386 باستمرار الاقتراع FoxPro قاعدة بيانات سجلات جديدة بالكشف عن هذا الطلب ويحيله على أبطأ حتى كبل تسلسلي (هذه المرة في EBCDIC) إلى آخر مربع في 3 مكتب محاكاة PDP11 التشغيل الفعلي COBOL البرنامج الذي يحافظ على الحسابات.
- للأسف كما أنها لا تزال في حاجة إلى الحقيقي PDP11 ، لأنه كان العرف الرمز الصغير أخرى آمنة خوارزمية التشفير (التي لا يمكن استخراج أو المضادة للعبث الجهاز سوف يمحو ذلك.) على PDP11 لا يمكن التعامل مع زيادة عبء العمل من جميع الحسابات المفتوحة منذ عام 1981 (السنة من أول محاولة فاشلة التقاعد) حتى الآن (عبر طبقة أخرى من الشاشة كاشطات يحتذى الأقراص الصلبة) هو خداع في أداء مجموعة من الوظائف (بما في ذلك كلمة المرور التحقق) نيابة عن الخادم الرئيسي.
إذن كلمة المرور الخاصة بك يمكن فقط استخدام المشترك فرعية من مجموعات الأحرف مدعومة من قبل جميع هذه النظم ، يمكن فقط طالما أقصر حقل قاعدة البيانات المعنية.
وتستخدم البنوك خدمات الإنترنت في المقام الأول باعتباره واجهة للأنظمة القديمة. وربما يتم معالجتها كلمة المرور الخاصة بك عن طريق أجهزة الكمبيوتر المركزية IBM في مكان ما، وكتب في كوبول، وقد تم تصميم هيكل كلمة المرور في ال 70.
وبالإضافة إلى ذلك، لأن البنوك هي تلك الهياكل السياسية، وإدارة يرى في المقام الأول نتائج "ملموسة" من القضايا مثل الأمن ولم تعالج حتى تصبح قضية ساخنة ومن ثم هناك "مبادرة" للتصدي له.
وفي بنك واحد عملت ل، كانت كلمة السر إنتاج نفس معرف المستخدم (نفس فكرة عن تسجيل الدخول باستخدام "الجذر" "الجذر"). يمكن إعادة تعيين كلمات مرور المستخدم على الانترنت لمجموعة من الحروف الأولى من اسم N الاخيرة + آخر 4 أرقام من SSN، بحيث يمكن لأي مستخدم إعادة ضبط كلمة المرور الخاصة بك إذا كانوا يعرفون اسمك وSSN وloginas لك.
وربما وضعت معظم النظم المصرفية منذ زمن طويل، عندما اعتبرت 8 كلمات السر الشخصية المضمون. أنا لا أعتقد أن أحدا ينظر كلمات السر مما اضطر الغاشمة من الحسابات المصرفية على أي حال، 8 أحرف فإنه لا يزال هناك الكثير. أراهن جميع البنوك كتلة حساب بعد 3 محاولات أو نحو ذلك.
هنا هو "علة" لدي تسجيل في بجزيلا بخصوص الموقع كنت قد بنيت لعميل مؤخرا (لا أحد البنوك ، والحمد لله!):
"يبدو أن يضطر المستخدم إلى استخدام !أو _ في كلمة المرور الخاصة بهم* الذي يبدو غريبا بعض الشيء بالنسبة لي.يمكن هذا بن بتحديث حتى 6 - 8 أرقام كلمة السر التي يمكن فقط استخدام أحرف وأرقام?"
- في الواقع, كان واحد على الأقل غير الرقمية ألفا حرف
