In origine ha a che fare con la difficoltà di un attacco di forza bruta sulla password.
La maggior parte dei siti Web è preoccupata per la possibilità che un utente malintenzionato possa ottenere un file contenente le password con hash di tutti e condurre un attacco di forza bruta offline utilizzando tale. Un attacker impostato correttamente potrebbe essere in grado di fare milioni di ipotesi al secondo (la velocità esatta a seconda che le password siano state sottoposte a hash utilizzando un algoritmo adatto e solo quanto silicio l'hacker possa far valere sul problema). Quindi anche 8 caratteri non sono sufficienti.
Le banche (per vari motivi a che fare con i loro diversi modelli di sicurezza) non pensano che rischiano di perdere file contenenti PIN o il loro hash senza accorgersene, o comunque non sono più preoccupati di perdere milioni in qualsiasi altra forma di rapina in banca. Se vuoi fare un attacco di forza bruta sul PIN di qualcuno allora (lasciando da parte i lettori di Chip e PIN di casa), devi mettere la loro carta in un bancomat o altro dispositivo connesso al sistema bancario e digitare un numero. È lento e la macchina mangia la carta dopo 3 tentativi sbagliati.
Alcuni siti web utilizzano un lock-out simile per prevenire attacchi di indovinare la password online, ma la preoccupazione principale che guida la necessità della forza della password è la perdita degli hash delle password. La preoccupazione principale che guida la (mancanza di) necessità di forza PIN è l'uso della scheda fisica (o un clone di esso, quando si utilizza la tecnologia a banda magnetica).
Si noti che esiste ancora un difetto non banale nella versione semplice del modello che ho descritto. Se rubi 10.000 carte di credito e fai 3 tentativi per ciascun PIN di 4 cifre, allora ti aspetteresti di ottenere il 3 giusto. Naturalmente, un singolo sportello noterà che qualcosa non va bene se deve mangiare 100 carte di fila, quindi sospetto / spero che i poliziotti siano in viaggio prima di allora. I PIN delle tessere di indovinare sono rischiosi per l'aggressore.
In generale, le banche prestano maggiore attenzione alle transazioni con carte sospette di quanto non facciano i siti web per sospettare gli accessi. Alcuni siti Web proveranno a notare e ad adottare ulteriori misure di sicurezza se noteranno un accesso da una posizione sospetta, aggiungendo ulteriore sicurezza dietro la password. Ma i tutti sistemi di pagamento delle carte cercano di farlo. Non che abbiano sempre successo.
Non so quale effetto abbiano i lettori di casa Chip e PIN su questo. Ho appena usato il mio per confermare che il mio PIN è corretto, senza alcuna comunicazione alla banca. Potrebbe essere semplice quanto il chip è abbastanza intelligente da bloccare se stesso dopo sufficienti ipotesi errate. Questo sarebbe ancora soggetto all'attacco di 10.000 carte rubate. Si brucerebbe il 99,97% dei chip, ma questi potrebbero ancora essere utilizzati per la frode non presente della carta e l'altro 0,03% sarebbe utile per le frodi che richiedono il PIN. Naturalmente non sto per testare quella teoria con la mia scheda; -)
Gli attaccanti con la capacità di rubare carte fisiche su quella scala probabilmente non si preoccupano comunque di indovinare i PIN. Semplicemente non è il modo più efficace per estrarre denaro da carte rubate o clonate.
In breve, sì, c'è qualche rischio nell'uso di password brevi che potrebbero essere indovinate. Tuttavia, rispetto ai siti web, è molto più difficile per gli attaccanti, le banche difendono in profondità contro le frodi con le carte e hanno anche costi più elevati associati a qualcuno che dimentica un PIN di quanto non facciano i siti Web con le password. Quindi scelgono un compromesso diverso.