senhas porque estão apostando tão fraco?

Question

Fora de interesse e porque me enfurece, eu queria saber se alguém aqui pode acontecer de trabalho para um banco ou se não sabe a resposta para isso.

Eu usei alguns sites bancários on-line (Reino Unido e N. América) e eles universalmente impor um padrão senha de /[\w\d]{6,8}/ Às vezes, talvez você começa a usar sublinhado, mas nunca fazer você começa a ter /.{6,20}/ que você obtenha ( mais ou menos) com apenas sobre cada site bancário! você encontrará.

Foi-me dito que esta é a ver com o espaço de armazenamento, mas a matemática não parecem apoiar isso. Assumindo que os bancos manter as tabelas de sombra para seu registro senha, vamos generosamente dizer uma média de 10 por conta, em seguida, dobrando o comprimento permitido da senha e duplicando a largura do conjunto de caracteres com base em uma 8char 8bit meio formato existente pouco um extras 11 * 2 * 8 = 176 bytes por conta, de modo ~ 168Mb por 1M contas. Vamos dizer que é um banco gigantesco apoio de 100 milhões de contas - que é ainda só 16Gb

Não pode ser assim tão simples pode? Certamente meus números estão fora da base.

Ou é a resposta aqui que os bancos sendo os bancos não têm nenhuma razão melhor para isso do que eles são dinossauros plodding.

Alguém sabe uma razão técnica pela qual a minha senha para www.random.com/forum é mais forte do que aquele para o meu banco?

Answer 1

Na verdade, eu trabalho em um banco agora, e tenho trabalhado em muito poucos no passado.

A principal razão que isso acontece é que, em geral, as pessoas que são responsáveis ??por tomar essas decisões não são as pessoas que acabam de implementá-las. A "Unidade de Negócios" de um banco são os especialistas em negócios não-técnicos que acabam por tomar essas decisões. Em muitos casos, as objeções técnicas serão anuladas por razões políticas ou empresariais. Mas isso não é exclusivo à banca. Isso acontece em qualquer setor onde as considerações técnicas não são muitas vezes a principal preocupação.

Answer 2

Se as histórias que ouvi sobre certos bancos são verdadeiras ...

É porque sempre que você digite sua senha:

• O servidor web envia através de um cabo de meio quilômetro de comprimento de série a um velho 386 em um escritório abandonado, executando a UI (compilado usando uma versão personalizada-hackeada do Borland C 1.0) que foi usado pelos gerentes de banco em 1989 , que não tem uma interface serial por isso tem que passar por outro dispositivo que simula o pressionamento de teclas em um teclado AT.
• Este programa insere o pedido, incluindo a sua senha (criptografada usando um algoritmo personalizado que é muito fraco para ser mais utilizado, mas que não pode ser desativado no software) em um banco de dados FoxPro em um servidor de arquivos NetWare em um escritório abandonado diferente no lado oposto extremidade do edifício (só porque ele iria cair em pedaços, se eles tentaram movê-lo.)
• Voltar no 1º abandonado escritório outro velho 386, constantemente polling o banco de dados FoxPro para novos registros, detecta essa solicitação e encaminha-lo ao longo de um cabo ainda mais lento série (desta vez em EBCDIC) para outra caixa em um terceiro escritório que está emulando um PDP11 executar o programa COBOL real que mantém as contas.
• Infelizmente, eles também ainda precisa do real PDP11, porque tinha microcódigo personalizado para outro algoritmo de criptografia segura (o que eles não podem extrair ou o anti-adulteração dispositivo irá apagá-lo.) A lata PDP11 't lidar com o aumento da carga de trabalho de todas as contas abertas desde 1981 (o ano da sua primeira tentativa mal sucedida de aposentá-lo) agora (via outra camada de screen scrapers e emulada discos rígidos) que é levado a executar um subconjunto de funções (incluindo senha verificação) em nome do servidor principal.

Assim sua senha só pode usar o subconjunto comum dos conjuntos de caracteres suportados por todos estes sistemas, e só pode ser tão longo como o campo de banco de dados menor envolvida.

Answer 3

Os bancos usam serviços online principalmente como uma interface para sistemas legados. Sua senha é provavelmente a ser processado por um mainframe IBM em algum lugar, escrito em Cobol, ea estrutura senha pode ter sido concebido na década de 70.

Além disso, porque os bancos são tais estruturas políticas, a gestão vê principalmente resultados "concretos" para que questões como a segurança não são abordados até que se torne um assunto quente e, em seguida, há uma "iniciativa" para enfrentá-lo.

Em um banco que eu trabalhei, a senha de produção era o mesmo que o ID de usuário (mesma idéia que entrando com "root" "root"). As senhas do usuário pode ser reposto on-line para uma combinação de primeiras letras N de seu sobrenome + 4 últimos dígitos do seu CPF, portanto, qualquer usuário pode redefinir sua senha se eles sabiam seu nome e SSN e loginas você.

Answer 4

Provavelmente a maioria dos sistemas bancários foram desenvolvidos muito tempo atrás, quando 8 senhas de caracteres foram considerados garantidos. Eu não acho que ninguém iria considerar senhas forçando bruta de contas bancárias de qualquer maneira, 8 caracteres de TI ainda um monte. Aposto que todos os bancos bloquear uma conta após 3 tentativas mais ou menos.

Answer 5

Aqui é um "bug" Eu fui registrado no Bugzilla a respeito de um site que eu tinha construído para um cliente recentemente (não um banco, felizmente!):

"Parece que o usuário é forçado a usar um ou _ em sua password * que parece um pouco estranho para mim Pode este ben atualizado para que ele é um 6 -!.? Senha de 8 dígitos que só pode usar caracteres alfanuméricos"

• Na verdade, era pelo menos um caractere não alfanumérico