Почему банковские пароли такие слабые?
Из интереса и потому, что это меня бесит, я задавался вопросом, может ли кто-нибудь здесь работать в банке или иным образом знает ответ на этот вопрос.
Я пользовался несколькими сайтами онлайн-банкинга (Великобритания и Северная Америка), и они повсеместно применяют шаблон пароля /[\w\d]{6,8}/. Иногда, возможно, вы используете подчеркивание, но никогда не получите /.{6,20}/, который вы получаете (более или менее ) практически со всеми! банковскими сайтами, с которыми вы столкнетесь.
Мне сказали, что это связано с пространством для хранения, но математика, похоже, этого не поддерживает. Предполагая, что банки хранят теневые таблицы для вашей записи паролей, давайте щедро скажем в среднем 10 на учетную запись, а затем удвоение допустимой длины пароля и удвоение разрядности набора символов на основе существующего 8-битного 8-битного формата означает дополнительный 11 * 2 * 8 = 176 байт на учетную запись, поэтому ~ 168 МБ на 1 млн учетных записей. Допустим, это гигантский банк, поддерживающий 100 миллионов счетов - это все равно всего 16 ГБ!
Это не может быть так просто, не так ли? Конечно, мои цифры не соответствуют базовым.
Или здесь есть ответ, что банки, будучи банками, не имеют для этого лучшей причины, чем они выгоняют динозавров.
Кто-нибудь знает техническую причину, по которой мой пароль к сайту www.random.com/forum надежнее пароля моего банка?
@MKV - Не просить, чтобы это было принудительно, просто разрешено. Не уверен, почему это было закрыто, мне кажется вполне реальным вопросом с потенциально совершенно техническим ответом.
Они осознали, что пароли сами по себе быстро становятся бесполезными (регистраторы нажатий клавиш) и что сложные пароли просто приводят к тому, что люди записывают их и оставляют лежать без дела?
Эээ ... Я был на грани закрытия. Это просто не столько похоже на вопрос программирования, сколько на бизнес-вопрос. Если люди считают иначе, я могу открыть его снова.
Причина в том, что они используют свои старые базы данных, так что вы можете считать это техническим обсуждением.
Если бы у меня был представитель, я бы подумал о том, чтобы снова открыть этот вопрос.
Хороший вопрос - и я рад, что его снова открыли.
На самом деле хорошо знать, что существует некоторая оппозиция (особенно если это со стороны PHB) нынешней тенденции требовать все более длинные пароли, полные символов, дополненные множеством вопросов безопасности, исходя из ошибочного предположения, что чем больше сложность, тем лучше безопасность. У меня есть одна учетная запись, в которую я никогда не входил успешно, и мне приходится каждый раз сбрасывать ее с помощью телефонного звонка. Я подозреваю, что мою телефонную линию будет легче взломать, чем базу данных банка.
Удвоение длины пароля не должно иметь никакого влияния на объем используемого пространства для хранения - серверная часть наверняка хранит криптографический хеш вашего пароля (с некоторой долей соли), а не сам пароль? Ваш пароль может состоять из одного символа или миллиона слов, но хэш SHA-512 всегда составляет всего 512 бит.
Ответы 5
Я на самом деле работаю в банке прямо сейчас, и в прошлом я работал во многих банках.
Основная причина, по которой это происходит, заключается в том, что в целом люди, которые в конечном итоге несут ответственность за принятие этих решений, не являются теми, кто в конечном итоге их выполняет. «Бизнес-единица» банка - это нетехнические бизнес-эксперты, которые в конечном итоге принимают эти решения. Во многих случаях технические возражения отклоняются по политическим или деловым причинам. Но это касается не только банковского дела. Это случается в любой отрасли, где технические соображения часто не являются главной заботой.
это, по сути, то же самое, что и аргумент о неуклюжих динозаврах :)
Наверное, большинство банковских систем были разработаны давно, когда 8-символьные пароли считались защищенными. Я не думаю, что кто-то в любом случае рассматривает возможность подбора паролей от банковских счетов, 8 символов - это все равно много. Готов поспорить, что все банки блокируют счет после трех попыток или около того.
Если у вас есть список номеров учетных записей, попытка использования одного и того же пароля для всех учетных записей имеет гораздо больше шансов на успех, без каких-либо наивных проверок входа в систему. OTOH, блокировка учетной записи после трех попыток обеспечивает хорошие атаки отказа в обслуживании.
Вы думаете, что банковские системы для потребительских сайтов были разработаны в то время, когда пароли 8x8 были стандартными? Если бы кто-то из тех, кто работал в конце 90-х, мог это проверить, я бы согласился - это кажется маловероятным (или просто вне пределов их досягаемости).
@annakata никто не сказал, что пароли 8x8 стандартные. serg555 говорит, что пароли из 8 символов считались безопасными.
Если истории, которые я слышал о некоторых банках, правдивы ...
Это потому, что всякий раз, когда вы вводите свой пароль:
- Веб-сервер отправляет его по последовательному кабелю длиной полкилометра к старому 386 в заброшенном офисе, на котором работает пользовательский интерфейс (скомпилированный с использованием специально взломанной версии Borland C 1.0), который использовался менеджерами банка в 1989 году, что не у него нет последовательного интерфейса, поэтому он должен проходить через другое устройство, имитирующее нажатия клавиш на клавиатуре AT.
- Эта программа вставляет ваш запрос, включая ваш пароль (зашифрованный с использованием специального алгоритма, который слишком слаб для дальнейшего использования, но который не может быть отключен в программном обеспечении) в базу данных FoxPro на файловом сервере NetWare в другом заброшенном офисе на противоположном конце окна. здание (просто потому, что оно развалится на куски, если они попытаются его сдвинуть).
- Вернувшись в 1-й заброшенный офис, другой старый 386, постоянно опрашивающий базу данных FoxPro на предмет новых записей, обнаруживает этот запрос и пересылает его по еще более медленному последовательному кабелю (на этот раз в EBCDIC) в другой ящик в 3-м офисе, который эмулирует работающий PDP11. фактическая программа COBOL, обслуживающая учетные записи.
- К сожалению, им все еще нужен настоящий PDP11, потому что в нем был специальный микрокод для другого алгоритма безопасного шифрования (который они не могут извлечь, иначе устройство защиты от несанкционированного доступа сотрет его). PDP11 не может справиться с возросшей рабочей нагрузкой всех открытых учетных записей. с 1981 года (год их первой неудачной попытки вывести его из эксплуатации), так что теперь (с помощью другого уровня скребков экрана и эмулированных жестких дисков) его обманом заставляют выполнять подмножество функций (включая проверку пароля) от имени главного сервера.
Таким образом, ваш пароль может использовать только общее подмножество наборов символов, поддерживаемых всеми этими системами, и может иметь длину, равную самому короткому задействованному полю базы данных.
Вот "ошибка", которую я зарегистрировал в Bugzilla относительно сайта, который я недавно создал для клиента (к счастью, не банка!):
"It seems that the user is forced to use a ! or _ in their password* which seems a bit odd to me. Can this ben updated so that it is a 6 - 8 digit password that can only use alphanumerics?"
- На самом деле это был как минимум один не буквенно-цифровой символ.
Банки используют онлайн-сервисы в первую очередь как интерфейс к устаревшим системам. Ваш пароль, вероятно, где-то обрабатывается мэйнфреймом IBM, написанный на Cobol, а структура пароля могла быть разработана в 70-х годах.
Кроме того, поскольку банки являются такими политическими структурами, руководство в первую очередь видит «конкретные» результаты, поэтому такие вопросы, как безопасность, не решаются до тех пор, пока они не станут острой проблемой, а затем появится «инициатива» по ее решению.
В одном банке, в котором я работал, производственный пароль был таким же, как и идентификатор пользователя (та же идея, что и вход в систему с «root» «root»). Пароли пользователей могут быть сброшены онлайн на комбинацию из первых N букв вашей фамилии + последних 4 цифр вашего SSN, так что любой пользователь может сбросить ваш пароль, если он знает ваше имя и SSN и входит в систему как вы.
Это из реального опыта? Это страшно похоже на мой (заведомо преувеличенный) ответ.
Да, это из реального опыта.
Однажды я обратился за помощью в банк и указал, что «последние четыре» SSN - одна из наименее защищенных его частей, и что на самом деле я знал последних четырех из нескольких друзей и членов семьи, и, таким образом, Я мог сбросить их пароли и войти под ними, даже не имея доступа к их электронной почте. Прошло около года, но поменяли процедуру сброса!
Фактическое предположение, связанное с безопасностью: поскольку пользователи банка (или на самом деле обычные пользователи) обладают средним интеллектом, возможно, они думают, что введение сложного пароля просто закончится наклейками с паролями, прикрепленными к мониторам ...