¿Por qué las contraseñas bancarias son tan débiles?

Question

Fuera de interés y porque me enfurece, me preguntaba si SOmebody podría trabajar para un banco o conocer la respuesta a esto.

que he usado un par de sitios de banca en línea (Reino Unido y N. América) y universalmente aplicable una contraseña patrón de /[\w\d]{6,8}/ A veces, tal vez se llega a utilizar guión bajo, pero nunca se llega a tener que /.{6,20}/ obtenga (más o menos) con casi todos los sitios bancarios que encontrará.

Me han dicho que esto tiene que ver con el espacio de almacenamiento, pero las matemáticas no parecen apoyar eso. Suponiendo que los bancos mantengan tablas ocultas para su registro de contraseña, digamos generosamente un promedio de 10 por cuenta, duplicar la longitud permitida de la contraseña y duplicar el ancho de bits del juego de caracteres en base a un formato existente de 8 bits a 8 bits significa extra 11 * 2 * 8 = 176 bytes por cuenta, por lo que ~ 168Mb por cuentas de 1M. Digamos que es un gigantesco banco que respalda cuentas de 100 millones, ¡eso sigue siendo solo 16 Gb!

No puede ser tan simple, ¿verdad? Seguramente mis números están fuera de base.

O la respuesta aquí es que, al ser bancos bancos, no tienen una mejor razón para esto de lo que están haciendo con los dinosaurios.

¿Alguien sabe una razón técnica por la cual mi contraseña para www.random.com/forum es más fuerte que la de mi banco?

Answer 1

Actualmente trabajo en un banco y he trabajado en bastantes en el pasado.

La razón principal por la que esto sucede es que, en general, las personas que son las últimas responsables de tomar estas decisiones no son las personas que terminan implementándolas. La "Unidad de negocios" de un banco son los expertos en negocios no técnicos que terminan tomando estas decisiones. En muchos casos, las objeciones técnicas serán anuladas por razones políticas o comerciales. Pero esto no es exclusivo de la banca. Sucede en cualquier industria donde las consideraciones técnicas a menudo no son la principal preocupación.

Answer 2

Probablemente la mayoría de los sistemas bancarios se desarrollaron hace mucho tiempo, cuando las contraseñas de 8 caracteres se consideraban seguras. No creo que nadie considere las contraseñas de fuerza bruta de las cuentas bancarias de todos modos, 8 caracteres todavía es mucho. Apuesto a que todos los bancos bloquean una cuenta después de 3 intentos más o menos.

Answer 3

Si las historias que he oído acerca de ciertos bancos son ciertas ...

es porque cada vez que introduce su contraseña:

• El servidor web envía a través de una serie de medio kilómetro de largo cable a una antigua 386 en una oficina abandonada, ejecutando la interfaz de usuario (compilada utilizando una versión pirateada a medida de Borland C 1.0) que fue utilizada por los administradores del banco en 1989, que no tiene una interfaz en serie, por lo que debe pasar por otra dispositivo que simula pulsaciones de teclas en un teclado AT.
• Este programa inserta su solicitud incluyendo su contraseña (cifrada usando un algoritmo personalizado que es demasiado débil para ser utilizado pero que no se puede desactivar en el software) en una base de datos FoxPro en un servidor de archivos NetWare en una oficina abandonada diferente en el opuesto final del edificio (solo porque se caería a pedazos si trataban de moverlo).)
• Detrás en la primera oficina abandonada, otro 386 viejo, sondeando constantemente la base de datos de FoxPro para nuevos registros, detecta esta solicitud y la reenvía a través de un cable serial aún más lento (esta vez en EBCDIC) a otra caja en una tercera oficina que es emulando un PDP11 ejecutando el programa real COBOL que mantiene las cuentas.
• Lamentablemente también necesitan real PDP11, porque tenía microcódigo personalizado para otro algoritmo de cifrado seguro (que no pueden extraerse o el dispositivo antimanipulación lo borrará). El PDP11 no puede manejar el aumento carga de trabajo de todas las cuentas abiertas desde 1981 (el año de su primer intento infructuoso de retirarla) por lo que ahora (a través de otra capa de raspadores de pantalla y discos duros emulados) se engaña para realizar un subconjunto de funciones (incluida la verificación de contraseñas) en nombre de el servidor principal.

De modo que su contraseña solo puede usar el subconjunto común de los juegos de caracteres admitidos por todos estos sistemas, y solo puede ser tan larga como el campo de base de datos más corto involucrado.

Answer 4

Aquí es un "error" Me inscrito en Bugzilla en relación con un sitio que había construido para un cliente recientemente (no un banco, por suerte!):

"Parece que el usuario se ve obligado a use a! o _ en su contraseña * que me parece un poco extraño. ¿Se puede actualizar este ben para que sea una contraseña de 6 a 8 dígitos que solo puede usar alfanuméricos? "

• En realidad, fue al menos un carácter no alfanumérico

Answer 5

Los bancos utilizan servicios en línea principalmente como una interfaz con sistemas heredados. Es probable que su contraseña esté siendo procesada por un mainframe de IBM en alguna parte, escrita en Cobol, y la estructura de contraseñas puede haber sido diseñada en los años 70. Además, como los bancos son estructuras políticas, la administración ve resultados "concretos" por lo que asuntos como la seguridad no se abordan hasta que se convierte en un tema candente y luego hay una "iniciativa" para abordarlo.

En un banco para el que trabajé, la contraseña de producción era la misma que el ID de usuario (la misma idea que iniciar sesión con "raíz" "raíz"). Las contraseñas de los usuarios se pueden restablecer en línea a una combinación de primeras N letras de su apellido + últimos 4 dígitos de su número de seguro social, por lo que cualquier usuario podría restablecer su contraseña si supieran su nombre y número de seguro social y lo conecta.