Perché le password bancarie sono così deboli?

Question

Per interesse e perché mi fa infuriare, mi chiedevo se qui qualcuno potesse lavorare per una banca o altrimenti conoscere la risposta a questo.

Ho usato alcuni siti di servizi bancari online (Regno Unito e America del Nord) e applicano universalmente una password di / [\ w \ d] {6,8} / a volte, forse puoi usare il carattere di sottolineatura, ma non avrai mai /.{6,20}/ che ottieni (più o meno) con quasi tutti i siti bancari che incontrerai.

Mi è stato detto che ciò ha a che fare con lo spazio di archiviazione, ma la matematica non sembra supportarlo. Supponendo che le banche mantengano le tabelle d'ombra per il tuo record di password, diciamo generosamente una media di 10 per account, quindi raddoppiando la lunghezza consentita della password e raddoppiando la larghezza di bit del set di caratteri basato su un formato esistente 8 bit 8 bit significa un extra 11 * 2 * 8 = 176 byte per account, quindi ~ 168 MB per 1 milione di account. Diciamo che è una gigantesca banca che supporta account da 100 milioni: sono ancora solo 16 GB!

Non può essere così semplice, vero? Sicuramente i miei numeri sono fuori base.

O è la risposta qui che le banche essendo banche non hanno una ragione migliore per questo di quanto siano in fuga dinosauri.

Qualcuno conosce un motivo tecnico per cui la mia password per www.random.com/forum è più forte di quella della mia banca?

Answer 1

Attualmente lavoro in una banca e in passato ne ho lavorate parecchie.

Il motivo principale per cui ciò accade è che in generale le persone che sono alla fine responsabili di prendere queste decisioni non sono le persone che finiscono per implementarle. La "Business Unit" di una banca sono gli esperti non tecnici che finiscono per prendere queste decisioni. In molti casi, le obiezioni tecniche verranno annullate per motivi politici o commerciali. Ma questo non è esclusivo del settore bancario. Succede in qualsiasi settore in cui le considerazioni tecniche spesso non sono la preoccupazione principale.

Answer 2

Se le storie che ho sentito su alcune banche sono vere ...

È perché ogni volta che inserisci la password:

• Il web server lo invia tramite un cavo seriale lungo mezzo chilometro a un vecchio 386 in un ufficio abbandonato, eseguendo l'interfaccia utente (compilata utilizzando una versione personalizzata di Borland C 1.0) utilizzata dai gestori delle banche nel 1989 , che non ha un'interfaccia seriale, quindi deve passare attraverso un altro dispositivo che simula la pressione dei tasti su una tastiera AT.
• Questo programma inserisce la tua richiesta includendo la tua password (crittografata usando un algoritmo personalizzato che è troppo debole per essere più utilizzato ma che non può essere disabilitato nel software) in un database FoxPro su un file server NetWare in un altro ufficio abbandonato al contrario fine dell'edificio (solo perché cadrebbe in pezzi se provassero a spostarlo.)
• Di nuovo nel primo ufficio abbandonato un altro vecchio 386, interrogando costantemente il database FoxPro per nuovi record, rileva questa richiesta e la inoltra su un cavo seriale ancora più lento (questa volta in EBCDIC) a un'altra scatola in un 3 ° ufficio che emula un PDP11 che esegue l'attuale programma COBOL che mantiene gli account.
• Sfortunatamente hanno anche bisogno del reale PDP11, perché aveva un microcodice personalizzato per un altro algoritmo di crittografia sicura (che non possono estrarre o che il dispositivo anti-manomissione lo cancellerà). Il PDP11 può gestire l'aumento del carico di lavoro di tutti gli account aperti dal 1981 (l'anno del loro primo tentativo fallito di ritirarlo), quindi ora (tramite un altro livello di screen raschiatori e dischi rigidi emulati) viene indotto a eseguire un sottoinsieme di funzioni (inclusa la password verifica) per conto del server principale.

Quindi la tua password può usare solo il sottoinsieme comune dei set di caratteri supportati da tutti questi sistemi e può essere solo finché il campo di database più breve è coinvolto.

Answer 3

Le banche utilizzano i servizi online principalmente come interfaccia per i sistemi legacy. Probabilmente la tua password viene elaborata da un mainframe IBM da qualche parte, scritta in Cobol, e la struttura delle password potrebbe essere stata progettata negli anni '70.

Inoltre, poiché le banche sono tali strutture politiche, il management vede principalmente "concreto". risultati, quindi problemi come la sicurezza non vengono affrontati fino a quando non diventa un problema caldo e quindi non vi è una "iniziativa" per affrontarlo.

In una banca per cui ho lavorato, la password di produzione era la stessa dell'ID utente (stessa idea di accesso con "root", "root"). Le password degli utenti possono essere reimpostate online su una combinazione di prime N lettere del tuo cognome + ultime 4 cifre del tuo SSN, quindi qualsiasi utente può reimpostare la tua password se conoscesse il tuo nome e SSN e accedi come te.

Answer 4

Probabilmente la maggior parte dei sistemi bancari sono stati sviluppati molto tempo fa, quando le password di 8 caratteri erano considerate sicure. Non credo che qualcuno prenderebbe in considerazione la possibilità di forzare brutalmente le password dai conti bancari, 8 caratteri ancora molto. Scommetto che tutte le banche bloccano un conto dopo circa 3 tentativi.

Answer 5

Ecco un " bug " Mi sono registrato Bugzilla per quanto riguarda un sito che avevo creato di recente per un cliente (non una banca, per fortuna!):

  

" Sembra che l'utente sia costretto a usare un! o _ nella loro password * che mi sembra un po 'strano. Questo può essere aggiornato in modo che sia una password di 6 - 8 cifre che può usare solo caratteri alfanumerici? & Quot;

• In realtà, era almeno un carattere non alfanumerico