La banca accetta password diverse da quella impostata

Naviga le tue risposte
21

Non sono particolarmente esperto di sicurezza IT quindi per favore portami con me.

Recentemente ho scoperto che il sistema online della mia banca accetta password costituite dalla password corretta e una stringa di caratteri casuali. Ad esempio, se la mia password è "password", accetterà cose come "password1" o "password43435". Sono abbastanza sicuro che questo non dovrebbe accadere con alcun metodo di hashing + salt, o anche con un confronto di stringhe. Mi fa preoccupare che sia semplicemente orribilmente insicuro, quindi mi chiedo se ci sia un metodo sicuro per memorizzare le password che permetta cose come questa. E se no, qualcuno può spiegare come succede a cose del genere?

    
posta Llwyd 22.01.2014 - 18:19
fonte

2 risposte

13

Certo che esiste, ma questo non significa che sia una buona pratica.

Probabilmente la tua banca sta tagliando la tua password su otto caratteri (questo limite era molto usato nei vecchi sistemi). La tua banca prende semplicemente i primi otto caratteri della stringa, l'hash e la confronta con il proprio hash. Questo è sicuro, almeno, sicuro quanto il limite di lunghezza della sua password.

Ci sono più possibilità come provare ogni hash nella stringa con i primi 4,5,6,7 ... N (dove N è la lunghezza della stringa che l'utente ha inserito) caratteri finché non trovano una corrispondenza, ma Credo che la mia prima ipotesi sia quella giusta =)

Quindi avrai un accesso sicuro come i tuoi primi otto caratteri (o l'importo che stanno utilizzando). Se usano semplicemente il secondo metodo (che dubito strongmente) il log-in sarà sicuro quanto la lunghezza della password.

Non mi divertirò la mia banca a farlo, ma ... Considera che hanno la responsabilità se subiscono un attacco in quanto il tuo denaro è garantito da loro (ma avrai mal di testa).

    
risposta data 22.01.2014 - 18:23
fonte
9

Non è molto sicuro, ma con le banche questo è uno schema non comune. Quello che probabilmente accadrà è che hanno un sistema di back-end (pensate a mainframe o altra piattaforma legacy) che ha un limite superiore alla lunghezza della password.

Quindi immagino che quello che stanno facendo sia troncare la password, probabilmente prima di passarla al mainframe per l'archiviazione. Su questa base potrebbero essere codificati correttamente la password purché la troncino sempre prima dell'hashing. In alternativa, potrebbero essere crittografati e utilizzare una qualche forma di hardware di sicurezza (ad esempio un modulo di sicurezza hardware (HSM)) per proteggere le chiavi di crittografia.

    
risposta data 22.01.2014 - 18:25
fonte

Leggi altre domande sui tag

Qualcosa da fare sulle vecchie chiavi gpg? Il recupero di One-Time-Password memorizzato localmente LastPass è un problema di sicurezza?