Warum Banking Passwörter so schwach?

Question

Aus Interesse und weil es mich ärgert, ich frage mich, ob jemand hier passieren könnte für eine Bank arbeiten oder auf andere Weise kennen die Antwort auf diese.

ich ein paar Online-Banking-Websites (UK und N.America) verwendet haben und sie universell ein Passwort Muster /[\w\d]{6,8}/ Manchmal erzwingen, vielleicht bekommen Sie Strich zu verwenden, aber nie tun Sie haben /.{6,20}/ bekommen, die Sie erhalten ( mehr oder weniger) mit fast jedem!-Banking-Seite werden Sie begegnen.

Ich habe gesagt, dass dies mit viel Stauraum zu tun ist, aber die Mathematik scheinen nicht, dass zu unterstützen. Unter der Annahme, dass die Banken Schattentabellen für Ihr Passwort Rekord halten, lassen Sie uns großzügig sagen durchschnittlich 10 pro Konto, dann die zulässige Länge des Passworts zu verdoppeln und eine Verdoppelung der Bit-Breite des Zeichensatzes auf der Basis eines 8char 8bit bestehenden Format bedeutet, ein Extra 11 * 2 * 8 = 176 Byte pro Konto, so ~ 168MB pro 1 M-Konten. Lassen Sie uns sagen, dass es eine riesige Bank 100M Accounts - das ist immer noch nur 16 GB

Es kann nicht so einfach kann es sein? Sicher sind meine Zahlen außerhalb der Basis.

Oder ist die Antwort hier, dass die Banken Banken sind sie dafür keinen besseren Grund haben, als sie trotten Dinosaurier.

Kennt jemand einen technischen Grund, warum mein Passwort für www.random.com/forum stärker als die für meine Bank ist?

Answer 1

ich in einer Bank tatsächlich arbeiten gerade jetzt, und haben in ganz wenigen in der Vergangenheit zusammengearbeitet.

Der Hauptgrund dafür, dass dies geschieht, ist, dass die Menschen im Allgemeinen, die für diese Entscheidungen letztlich verantwortlich sind, sind nicht die Menschen, die sie am Ende der Umsetzung. Die „Business Unit“ von einer Bank sind die nicht-technischen Business-Experten, die diese Entscheidungen am Ende. In vielen Fällen werden technische Einwände aus politischen oder geschäftlichen Gründen außer Kraft gesetzt werden. Aber das ist nicht exklusiv für Banking. Es passiert in jeder Branche, wo technische Überlegungen sind oft nicht das primäre Anliegen.

Answer 2

Wenn die Geschichten, die ich über bestimmte Banken gehört haben, sind wahr ...

Es ist, weil, wenn Sie Ihr Passwort eingeben:

• Der Web-Server sendet es über einen halben Kilometer langen seriellen Kabel an einen alten 386 in einem verlassenen Büro, die Benutzeroberfläche (Zusammengestellt mit einer benutzerdefinierten-gehackten Version von Borland C 1.0) ausgeführt wird, die durch Bankmanager 1989 verwendet wurde, , das nicht über eine serielle Schnittstelle verfügen, so dass es über ein anderes Gerät gehen, die Tastenanschläge auf einer AT-Tastatur simuliert.
• Dieses Programm fügt Ihre Anfrage einschließlich Ihr Passwort (verschlüsselt einen benutzerdefinierten Algorithmus, zu schwach ist mehr verwendet werden, die aber nicht in der Software deaktiviert werden) in eine FoxPro-Datenbank auf einem NetWare-Dateiserver in einem anderen verlassenen Büro am anderen Ende des Gebäudes (nur weil es in Stücke fallen würde, wenn sie es zu bewegen versucht.)
• Zurück in dem ersten verlassenen Büro einer anderen alten 386, ständig Polling die FoxPro-Datenbank für neue Datensätze, erkennt diese Anfrage und leitet sie über ein noch langsamer serielles Kabel (diesmal in EBCDIC) zu einem anderen Feld in einem dritten Büro, das emuliert wird ein PDP11 die tatsächliche COBOL-Programm ausgeführt wird, der die Konten unterhält.
• Leider auch sie müssen noch die real PDP11, da es kundenspezifische Mikro für einen anderen sicheren Verschlüsselungsalgorithmus hatte (was sie nicht oder die anti-Tampervorrichtung es löscht extrahieren kann.) Die PDP11 können ‚t die erhöhte Arbeitsbelastung aller Konten seit 1981 (dem Jahr des ersten erfolglosen Versuch, sie in den Ruhestand) geöffnet handhaben, so jetzt (über eine andere Schicht von Screen-Scraper und Festplatten emulierten) es in der Durchführung einer Teilmenge von Funktionen ausgetrickst (einschließlich Passwort Überprüfung) im Namen des Hauptservers.

So Ihr Passwort nur die gemeinsame Teilmenge der Zeichensätze von all diesen Systemen unterstützt verwenden, und kann nur so lang sein wie das kürzeste Datenbankfeld beteiligt.

Answer 3

Die Banken nutzen Online-Dienste in erster Linie als Schnittstelle zu Legacy-Systemen. Ihr Passwort wird wahrscheinlich irgendwo von einem IBM-Mainframe verarbeitet werden, in Cobol geschrieben, und das Kennwort Struktur kann in den 70er Jahren entwickelt wurden.

Darüber hinaus, weil die Bänke solche politischen Strukturen sind, sieht das Management in erster Linie „konkrete“ Ergebnisse so Fragen wie Sicherheit werden nicht angesprochen, bis es ein heißes Thema wird und dann gibt es eine „Initiative“, diese auszuräumen.

An einer Bank für die ich gearbeitet, war die Produktion Passwort das gleiche wie die Benutzer-ID (gleiche Idee wie Sie sich mit „root“ „root“). Die Benutzer-Passwörter zurückgesetzt Online + auf eine Kombination von ersten N Buchstaben des Nachnamens letzten 4 Ziffern Ihrer SSN werden könnte, so dass jeder Benutzer Ihr Passwort zurücksetzen können, wenn sie Ihren Namen und SSN und loginas wussten Sie.

Answer 4

Wahrscheinlich vor langer Zeit entwickelt die meisten Bankensysteme wurden, als 8 Zeichen Passwörter wurden gesichert betrachtet. Ich glaube nicht, dass jemand hielte Brute zwingen Passwörter von Bankkonten sowieso, 8 Zeichen es noch eine ganze Menge. Ich wette, alle Banken ein Konto nach 3 Versuchen blockieren oder so.

Answer 5

Hier ist ein „Bug“ ich in Bugzilla in Bezug auf einer Website angemeldet wurde ich vor kurzem für einen Kunden gebaut hatte (keine Bank, zum Glück!):

  

„Es scheint, dass der Benutzer ein zu verwenden, gezwungen ist, oder _ in ihrem Passwort *, die ein wenig seltsam für mich scheint Kann dieser ben aktualisiert, so dass es ein 6 -.? 8-stellige Passwort, das nur alphanumerische Zeichen verwenden kann“

• Eigentlich war es mindestens ein nicht alphanumerische Zeichen