Почему банковские пароли такие слабые?
https://stackoverflow.com/questions/341290
-
19-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Из интереса и потому, что это приводит меня в бешенство, я подумал, может быть, кто-нибудь здесь случайно работает в банке или иным образом знает ответ на этот вопрос.
Я пользовался несколькими сайтами онлайн-банкинга (Великобритания и Северная Америка), и они повсеместно применяют шаблон паролей /[\w\d]{6,8}/ Иногда, может быть, вам удается использовать подчеркивание, но никогда у вас не получается /.{6,20}/ это вы получаете (в большей или меньшей степени) практически на каждом банковском сайте, с которым вы столкнетесь.
Мне сказали, что это связано с местом для хранения, но математика, похоже, этого не подтверждает.Предполагая, что банки хранят теневые таблицы для записи вашего пароля, давайте великодушно скажем, в среднем 10 для каждой учетной записи, тогда удвоение допустимой длины пароля и удвоение разрядности набора символов на основе существующего формата 8char 8bit означает дополнительный 11*2*8 = 176 байт на учетную запись, то есть ~ 168 МБ на 1 млн учетных записей.Допустим, это гигантский банк, поддерживающий 100 МИЛЛИОНОВ счетов - это все равно всего 16 ГБ!
Это не может быть так просто, не так ли?Конечно, мои цифры не соответствуют действительности.
Или здесь кроется ответ в том, что банки есть банки, и у них нет для этого лучшей причины, чем то, что они неуклюжие динозавры.
Кто-нибудь знает техническую причину, по которой мой пароль для www.random.com/forum надежнее, чем пароль для моего банка?
Решение
На самом деле я сейчас работаю в банке, и в прошлом работал немало.
Основная причина, по которой это происходит, заключается в том, что в целом люди, которые в конечном итоге несут ответственность за принятие этих решений, не являются людьми, которые в конечном итоге их реализуют. & Quot; Business Unit & Quot; банка нетехнические бизнес-эксперты, которые в конечном итоге принимают эти решения. Во многих случаях технические возражения будут отменены по политическим или деловым причинам. Но это не только банковское дело. Это происходит в любой отрасли, где технические соображения часто не являются первостепенной задачей.
Другие советы
Если истории, которые я слышал о некоторых банках, правдивы...
Это потому, что всякий раз, когда вы вводите свой пароль:
- Веб-сервер отправляет его по последовательному кабелю длиной в полкилометра на старый 386-й в заброшенном офисе, запустив пользовательский интерфейс (скомпилированный с использованием специально взломанной версии Borland C 1.0), который использовался менеджерами банков в 1989 году, у которого нет последовательного интерфейса, поэтому он должен проходить через другое устройство, имитирующее нажатия клавиш на AT-клавиатуре.
- Эта программа вставляет ваш запрос, включая ваш пароль (зашифрованный с использованием пользовательского алгоритма, который слишком слаб, чтобы его можно было больше использовать, но который нельзя отключить в программном обеспечении), в базу данных FoxPro на файловом сервере NetWare в другом заброшенном офисе в противоположном конце здания (просто потому, что он рассыплется на кусочки, если его попытаются переместить).
- Вернувшись в 1-й заброшенный офис, другой старый 386-й, постоянно опрашивающий базу данных FoxPro на предмет новых записей, обнаруживает этот запрос и пересылает его по еще более медленному последовательному кабелю (на этот раз в EBCDIC) на другой ящик в 3-м офисе, который эмулирует PDP11, запускающий фактическую программу COBOL, которая поддерживает учетные записи.
- К сожалению, они также по-прежнему нуждаются в реальный PDP11, потому что у него был пользовательский микрокод для другого безопасного алгоритма шифрования (который они не могут извлечь, иначе устройство защиты от несанкционированного доступа сотрет его.) PDP11 не может справиться с возросшей нагрузкой всех учетных записей, открытых с 1981 года (года их первой неудачной попытки удалить его), поэтому теперь (с помощью другого слоя скребков экрана и эмулируемых жестких дисков) его обманом заставляют выполнять подмножество функций (включая проверку пароля) от имени главного сервера.
Таким образом, ваш пароль может использовать только общее подмножество наборов символов, поддерживаемых всеми этими системами, и может быть только такой длины, как самое короткое поле базы данных.
Банки используют онлайн-сервисы главным образом как интерфейс к устаревшим системам. Ваш пароль, вероятно, обрабатывается где-то мэйнфреймом IBM, написанным на Cobol, и структура пароля, возможно, была разработана в 70-х годах.
Кроме того, поскольку банки являются такими политическими структурами, руководство прежде всего видит " конкретный " результаты, поэтому такие вопросы, как безопасность, не решаются, пока они не станут острой проблемой, а затем не будет " инициатива " обратиться к нему.
В одном банке, в котором я работал, рабочий пароль был таким же, как и идентификатор пользователя (такая же идея, как вход в систему с помощью " root " " root "). Пользовательские пароли могут быть сброшены в режиме онлайн на комбинацию первых N букв вашей фамилии + последних 4 цифр вашего SSN, поэтому любой пользователь может сбросить ваш пароль, если он знает ваше имя, SSN и логин как вас.
Вероятно, большинство банковских систем было разработано давно, когда 8-символьные пароли считались защищенными. Я не думаю, что кто-то подумал бы, что пароли с банковских счетов в любом случае будут перебором, 8 символов - это все еще много. Бьюсь об заклад, все банки блокируют счет после 3 попыток или около того.
Вот "ошибка", с которой я зарегистрировался в Bugzilla относительно сайта, который я недавно создал для клиента (к счастью, не банка!):
"Похоже , что пользователь вынужден использовать a !или _ в их пароле *, что кажется мне немного странным.Может ли это быть обновлено так, чтобы это был 6-8-значный пароль, который может использовать только буквенно-цифровые символы? "
- На самом деле, это был по крайней мере один не буквенно-цифровой символ
