Pourquoi les mots de passe bancaires sont-ils si faibles?
https://stackoverflow.com/questions/341290
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Par intérêt et parce que cela me met en colère, je me demandais si quelqu'un ici pourrait travailler pour une banque ou connaître la réponse à cette question.
J'ai utilisé quelques sites bancaires en ligne (Royaume-Uni et Amérique du Nord) et ils appliquent universellement un modèle de mot de passe de / [\ w \ d] {6,8} / Parfois, peut-être vous utilisez le trait de soulignement, mais jamais /. {6,20} / que vous obtenez (plus ou moins) avec à peu près tous les! sites bancaires que vous rencontrerez.
On m'a dit qu'il s'agissait d'un espace de stockage, mais les calculs ne semblent pas le démontrer. En supposant que les banques conservent des tables fantômes pour votre enregistrement de mot de passe, disons généreusement une moyenne de 10 par compte, puis en doublant la longueur autorisée du mot de passe et en doublant la largeur en bits du jeu de caractères sur la base d'un format existant 8char 8 bits, un extra 11 * 2 * 8 = 176 octets par compte, soit environ 168 Mo par compte 1M. Disons que c'est une gigantesque banque gérant 100 millions de comptes, ce qui ne représente que 16 Go!
Cela ne peut pas être aussi simple que possible? Mes chiffres sont sûrement en dehors de la base.
Ou est-ce la réponse ici que les banques étant des banques, elles n’ont pas de meilleure raison à cela que de marcher dans des dinosaures.
Est-ce que quelqu'un connaît une raison technique pour laquelle mon mot de passe pour www.random.com/forum est plus fort que celui de ma banque?
La solution
Je travaille actuellement dans une banque et j'ai déjà travaillé dans pas mal de fois.
Cela s’explique principalement par le fait que les personnes qui sont responsables en dernier ressort de ces décisions ne sont pas celles qui finissent par les appliquer. Le " Business Unit " d’une banque sont les experts non techniques en affaires qui finissent par prendre ces décisions. Dans de nombreux cas, les objections techniques seront rejetées pour des raisons politiques ou commerciales. Mais ce n'est pas exclusif aux banques. Cela se produit dans toutes les industries où les considérations techniques ne sont souvent pas la préoccupation principale.
Autres conseils
Si les histoires que j'ai entendues au sujet de certaines banques sont vraies ...
C'est parce que chaque fois que vous entrez votre mot de passe:
- Le serveur Web l'envoie via un câble série long d'un demi-kilomètre à un ancien 386 d'un bureau abandonné, exécutant l'interface utilisateur (compilé à l'aide d'une version personnalisée de Borland C 1.0), utilisé par les directeurs de banque en 1989. , qui n’a pas d’interface série, il doit donc passer par un autre périphérique simulant les pressions de touche sur un clavier AT.
- Ce programme insère votre demande, y compris votre mot de passe (chiffré à l'aide d'un algorithme personnalisé qui est trop faible pour être utilisé mais ne peut pas être désactivé dans le logiciel) dans une base de données FoxPro sur un serveur de fichiers NetWare situé dans un autre bureau abandonné, à l'opposé. la fin du bâtiment (juste parce qu'il tomberait en morceaux s'ils essayaient de le déplacer.)
- De retour dans le 1er bureau abandonné, un autre ancien 386, interroge constamment la base de données FoxPro pour rechercher de nouveaux enregistrements, détecte cette demande et la transmet via un câble série encore plus lent (cette fois dans EBCDIC) à une autre boîte dans un 3ème bureau émulant un PDP11 exécutant le programme COBOL proprement dit qui gère les comptes.
- Malheureusement, ils ont également besoin du vrai PDP11, car il disposait d'un microcode personnalisé pour un autre algorithme de chiffrement sécurisé (qu'ils ne peuvent pas extraire, sinon le périphérique anti-sabotage l'effacera). 'Gérez pas la charge de travail accrue de tous les comptes ouverts depuis 1981 (l'année de leur première tentative infructueuse de le retirer), alors maintenant (via une autre couche de grattoirs et de disques durs émulés), il est amené à exécuter un sous-ensemble de fonctions (y compris mot de passe vérification) au nom du serveur principal.
Votre mot de passe ne peut donc utiliser que le sous-ensemble commun des jeux de caractères pris en charge par tous ces systèmes, et ne peut être long que sur le champ de base de données le plus court impliqué.
Les banques utilisent les services en ligne principalement comme interface avec les systèmes existants. Votre mot de passe est probablement en cours de traitement par un ordinateur central IBM, écrit en Cobol, et la structure de mot de passe a peut-être été conçue dans les années 70.
De plus, comme les banques sont de telles structures politiques, la direction considère principalement "concrète". résultats afin que les problèmes tels que la sécurité ne soient pas traités tant que le problème ne devient pas d'actualité, puis il y a une "initiative". pour y remédier.
Dans une banque pour laquelle je travaillais, le mot de passe de production était le même que l'ID utilisateur (même idée que de se connecter avec "racine" "racine"). Les mots de passe des utilisateurs peuvent être réinitialisés en ligne et associer N premières lettres de votre nom de famille + les 4 derniers chiffres de votre SSN. Ainsi, tout utilisateur peut réinitialiser votre mot de passe s'il connaît votre nom, votre SSN et vos identifiants de connexion.
La plupart des systèmes bancaires ont probablement été développés il y a longtemps, alors que les mots de passe à 8 caractères étaient considérés comme sécurisés. De toute façon, je ne pense pas que quiconque envisagerait de forcer brutalement les mots de passe de comptes bancaires, encore 8 caractères. Je parie que toutes les banques bloquent un compte après 3 tentatives ou plus.
Voici un "bug" Je me suis connecté à Bugzilla concernant un site que j'avais construit pour un client récemment (pas une banque, heureusement!):
"Il semble que l'utilisateur soit obligé d'utiliser un! ou _ dans leur mot de passe *, ce qui me semble un peu étrange. Ce nom peut-il être mis à jour pour qu'il s'agisse d'un mot de passe de 6 à 8 chiffres pouvant uniquement utiliser des caractères alphanumériques? "
- En fait, il s'agissait d'au moins un caractère non alphanumérique
