为什么银行密码如此脆弱？

Question

出于兴趣，也因为这激怒了我，我想知道这里有人是否碰巧在银行工作，或者以其他方式知道这个问题的答案。

我使用过一些网上银行网站（英国和北美），它们普遍强制执行以下密码模式 /[\w\d]{6,8}/ 有时，也许你可以使用下划线，但你永远不会使用下划线 /.{6,20}/ 您在几乎所有遇到的银行网站上都会（或多或少）获得这些信息。

有人告诉我这与存储空间有关，但数学似乎并不支持这一点。假设银行为您的密码记录保留影子表，我们慷慨地说每个帐户平均有 10 个影子表，然后将密码允许的长度加倍，并将基于 8char 8bit 现有格式的字符集位宽加倍意味着 额外的 11*2*8 = 每个帐户 176 字节，因此每 1M 帐户约 168Mb。假设这是一家支持 100M 账户的大型银行 - 但仍然只有 16Gb！

事情不可能这么简单吧？当然，我的数字有误。

或者这里的答案是，银行就是银行，他们没有更好的理由，就像他们是缓慢的恐龙一样。

有谁知道为什么我的 www.random.com/forum 密码比我的银行密码强的技术原因？

Answer 1

其实我在银行工作，现在，在不少在过去的工作。

主要的原因，出现这种情况，是普通谁是最终负责做出这些决定的人不是谁最终实现他们的人。 一家银行的“业务单元”的非技术业务专家谁最终作出这些决定。 在许多情况下，技术缺陷会被否决的政治或商业原因。但是，这不是独家银行。它发生在技术因素往往不是主要考虑因素的任何行业。

Answer 2

如果我听到的关于某些银行的故事是真的......

这是因为每当您输入密码时：

• Web 服务器通过半公里长的串行电缆将其发送到废弃办公室中的旧 386，运行 1989 年银行经理使用的 UI（使用 Borland C 1.0 的自定义破解版本编译），没有串行接口，因此它必须通过另一个模拟 AT 键盘上按键的设备。
• 该程序将您的请求（包括您的密码）（使用自定义算法加密，该算法太弱而无法再使用，但无法在软件中禁用）插入到位于网络另一端的另一个废弃办公室的 NetWare 文件服务器上的 FoxPro 数据库中。建筑物（只是因为如果他们试图移动它，它就会变成碎片。）
• 回到第一个废弃的办公室，另一台旧的 386 不断轮询 FoxPro 数据库以获取新记录，检测到此请求并通过更慢的串行电缆（这次是 EBCDIC）将其转发到第三个办公室中正在模拟运行的 PDP11 的另一个盒子。维护账户的实际 COBOL 程序。
• 不幸的是他们还需要 真实的 PDP11，因为它具有用于另一种安全加密算法的自定义微代码（他们无法提取该算法，否则防篡改设备将删除它。）PDP11 无法处理自 1981 年（他们的年份）以来开设的所有帐户增加的工作量第一次失败的尝试使其退役）所以现在（通过另一层屏幕抓取器和模拟硬盘）它被欺骗代表主服务器执行一部分功能（包括密码验证）。

因此，您的密码只能使用所有这些系统支持的字符集的公共子集，并且只能与所涉及的最短数据库字段一样长。

Answer 3

银行使用的在线服务，主要为遗留系统的接口。您的密码可能正在由IBM大型机的地方，用Cobol编写的处理，以及密码结构可能已经在70年代的设计。

此外，因为银行是这样的政治结构，管理层主要是看“具体”的结果使如安全问题得不到解决，直到它成为一个热点问题，然后有一个“倡议”，以解决这一问题。

目前一个银行我工作，生产密码是相同的用户ID（相同的想法，与“根”的“根”登录）。用户密码可以在线重置你的姓+最后4位数字的SSN的第N个字母的组合，因此，任何用户可以重置您的密码，如果他们知道你的名字和SSN和loginas你。

Answer 4

也许大多数银行系统都是很久以前开发的，当8名字符的密码被认为是安全的。我想没有人会考虑从银行帐户暴力破解密码无论如何，8个字符，它仍然很多。我打赌所有银行后3次尝试或于是块的帐户。

Answer 5

这是我在 Bugzilla 中记录的一个“错误”，涉及我最近为客户（不是银行，谢天谢地！）构建的一个网站：

“看来用户是被迫使用了！或 _ 在他们的密码* 这对我来说似乎有点奇怪。这个本可以更新为只能使用字母数字的 6 - 8 位密码吗？”

• 实际上，它至少是一个非字母数字字符