Подтвердить что ты не робот

Почему банковские пароли настолько слабы?

Из интереса и из-за того, что это бесит меня, мне было интересно, может ли SOmebody здесь работать в банке или иначе знать ответ на этот вопрос.

Я использовал несколько сайтов онлайн-банкинга (Великобритания и N.America), и они повсеместно применяют шаблон паролей /[\w\d]{6,8}/ Иногда, возможно, вы можете использовать подчеркивание, но никогда не получите /.{6,20}/ что вы получаете (более или менее) практически со всех банковских сайтов, с которыми вы столкнетесь.

Мне сказали, что это связано с объемом памяти, но математика, похоже, не поддерживает это. Предполагая, что банки сохраняют теневые таблицы для записи вашего пароля, пусть щедро скажут в среднем по 10 на учетную запись, а затем удваивает допустимую длину пароля и удваивает ширину бита набора символов на основе 8-битного существующего формата, означает дополнительный 11 * 2 * 8 = 176 байт на одну учетную запись, поэтому ~ 168 Мб на 1M учетную запись. Позвольте сказать, что это гигантский банк, поддерживающий 100M-аккаунты - это все еще только 16Gb!

Не может быть так просто? Разумеется, мои номера не работают.

Или ответ здесь, что банки, являющиеся банками, у них нет лучшей причины для этого, чем они занимаются динозаврами.

Кто-нибудь знает техническую причину, почему мой пароль для www.random.com/forum сильнее, чем у моего банка?

4b9b3361

ОТВЕТЫ

Ответ 1

Я действительно работаю в банке прямо сейчас, и в прошлом работал очень много.

Основная причина, по которой это происходит, состоит в том, что в целом люди, которые в конечном итоге несут ответственность за принятие этих решений, не являются людьми, которые в конечном итоге осуществляют их. "Бизнес-единица" банка - это нетехнические бизнес-эксперты, которые в конечном итоге принимают эти решения. Во многих случаях технические возражения будут отменены по политическим или деловым причинам. Но это не только банковское дело. Это происходит в любой отрасли, где технические соображения часто не являются первоочередной задачей.

Ответ 2

Если истории, которые я слышал об определенных банках, верны...

Это потому, что всякий раз, когда вы вводите свой пароль:

  • Веб-сервер отправляет его через полукилометровый последовательный кабель на старый 386 в заброшенном офисе, управляя пользовательским интерфейсом (скомпилированный с использованием взломанной версии Borland C 1.0), который был использован менеджерами банка в 1989 году, который не имеет последовательного интерфейса, поэтому ему необходимо пройти через другое устройство, которое имитирует нажатия клавиш на клавиатуре AT.
  • Эта программа вставляет ваш запрос, включая ваш пароль (зашифрованный с использованием пользовательского алгоритма, который слишком слаб, чтобы его использовать больше, но который нельзя отключить в программном обеспечении) в базу данных FoxPro на файловом сервере NetWare в другом заброшенном офисе на противоположном конец здания (только потому, что он упадет до битов, если они попытаются переместить его.)
  • Вернувшись в 1-й заброшенный офис, еще один старый 386, постоянно опросив базу данных FoxPro для новых записей, обнаруживает этот запрос и пересылает его по еще более медленному последовательному кабелю (на этот раз в EBCDIC) в другой блок в третьем офисе, который эмулирует PDP11 работает с текущей программой COBOL, которая поддерживает учетные записи.
  • К сожалению, они также по-прежнему нуждаются в реальном PDP11, потому что у него есть собственный микрокод для другого алгоритма безопасного шифрования (который они не могут извлечь, или устройство защиты от несанкционированного доступа будет удалять его.) PDP11 не может справиться с увеличением рабочей нагрузки все учетные записи, открытые с 1981 года (год их первой неудачной попытки уйти в отставку), теперь (через другой слой скребок экрана и эмулированных жестких дисков) он обманывается в выполнении подмножества функций (включая проверку пароля) от имени основного сервер.

Таким образом, ваш пароль может использовать только общее подмножество наборов символов, поддерживаемых всеми этими системами, и может быть до тех пор, пока задействовано самое короткое поле базы данных.

Ответ 3

Банки используют онлайн-услуги прежде всего как интерфейс к устаревшим системам. Ваш пароль, вероятно, обрабатывается мэйнфреймом IBM где-то, написанным на Cobol, а структура паролей, возможно, была разработана в 70-х годах.

Кроме того, поскольку банки являются такими политическими структурами, руководство в первую очередь видит "конкретные" результаты, поэтому такие вопросы, как безопасность, не рассматриваются до тех пор, пока они не станут горячей проблемой, и тогда есть "инициатива" для ее решения.

В одном банке, на котором я работал, пароль для производства был таким же, как и с идентификатором пользователя (та же идея, что и вход с корневым корнем). Пользовательские пароли могут быть reset онлайн в сочетании первых N букв вашей фамилии + последние 4 цифры вашего SSN, так что любой пользователь мог бы reset ваш пароль, если они знали ваше имя и SSN и вошли в систему.

Ответ 4

Вероятно, большинство банковских систем были разработаны давно, когда 8 символьных паролей считались защищенными. Я не думаю, что кто-то считал бы грубым форсирование паролей с банковских счетов в любом случае, еще 8 символов. Бьюсь об заклад, все банки блокируют учетную запись после 3 попыток или около того.

Ответ 5

Вот "ошибка", которую я зарегистрировал в Bugzilla относительно сайта, который я недавно создал для клиента (а не банка, к счастью!):

"Кажется, что пользователь вынужден использовать a! или _ в своем пароле *, который кажется мне немного странным. Может ли этот ben обновить, чтобы он был 6-8-значным паролем, который может использовать только буквенно-цифровые символы?"

  • На самом деле это был хотя бы один неапно-цифровой символ