Perché alcuni consulenti di sicurezza consigliano di utilizzare una password di 8 caratteri con caratteri maiuscoli e minuscoli e simboli, mentre i banchi utilizzano solo un pin con 4 cifre per i pin di debito e 3 cifre per la carta di credito?
Non è un rischio per la sicurezza usare una breve password non casuale come quella?
Non stai confrontando le mele con le mele nel confronto tra la forza della password e il PIN della tua banca.
La maggior parte delle tradizionali teorie di forza delle password si basano sul fatto che il tuo nome utente e la password sono tutto ciò che si frappone tra te e i tuoi preziosi dati protetti. Questi sono solo due oggetti che conosci e come tale è nel tuo migliore interesse avere una password più lunga con pattern apparentemente casuali per impedire l'induzione della password e attacchi brute force ecc.
La tua carta di credito si basa su ciò che è noto come autenticazione a due fattori: qualcosa che hai (la tua carta di credito) e qualcosa che conosci (il tuo PIN). Questo elemento in più di avere qualcosa che ha (che, come ricordi tu non hai nel primo scenario), aumenta notevolmente la sicurezza quando l'oggetto che hai viene gestito con grande cura. Con questo in mente, di solito puoi scappare avendo un codice a 4 cifre perché la probabilità che qualcuno indovinerà il tuo PIN dopo aver trovato casualmente la tua carta senza avvisare il tuo istituto finanziario è piuttosto bassa.
Va da sé che l'autenticazione a due fattori non è priva di difetti (qualcuno potrebbe copiare la tua striscia magnetica su una scheda non chip e rubare il tuo PIN), tuttavia i suoi ulteriori vantaggi di sicurezza ti permettono di avere una password più breve lunghezze senza aumentare il rischio per il titolare.
In origine ha a che fare con la difficoltà di un attacco di forza bruta sulla password.
La maggior parte dei siti Web è preoccupata per la possibilità che un utente malintenzionato possa ottenere un file contenente le password con hash di tutti e condurre un attacco di forza bruta offline utilizzando tale. Un attacker impostato correttamente potrebbe essere in grado di fare milioni di ipotesi al secondo (la velocità esatta a seconda che le password siano state sottoposte a hash utilizzando un algoritmo adatto e solo quanto silicio l'hacker possa far valere sul problema). Quindi anche 8 caratteri non sono sufficienti.
Le banche (per vari motivi a che fare con i loro diversi modelli di sicurezza) non pensano che rischiano di perdere file contenenti PIN o il loro hash senza accorgersene, o comunque non sono più preoccupati di perdere milioni in qualsiasi altra forma di rapina in banca. Se vuoi fare un attacco di forza bruta sul PIN di qualcuno allora (lasciando da parte i lettori di Chip e PIN di casa), devi mettere la loro carta in un bancomat o altro dispositivo connesso al sistema bancario e digitare un numero. È lento e la macchina mangia la carta dopo 3 tentativi sbagliati.
Alcuni siti web utilizzano un lock-out simile per prevenire attacchi di indovinare la password online, ma la preoccupazione principale che guida la necessità della forza della password è la perdita degli hash delle password. La preoccupazione principale che guida la (mancanza di) necessità di forza PIN è l'uso della scheda fisica (o un clone di esso, quando si utilizza la tecnologia a banda magnetica).
Si noti che esiste ancora un difetto non banale nella versione semplice del modello che ho descritto. Se rubi 10.000 carte di credito e fai 3 tentativi per ciascun PIN di 4 cifre, allora ti aspetteresti di ottenere il 3 giusto. Naturalmente, un singolo sportello noterà che qualcosa non va bene se deve mangiare 100 carte di fila, quindi sospetto / spero che i poliziotti siano in viaggio prima di allora. I PIN delle tessere di indovinare sono rischiosi per l'aggressore.
In generale, le banche prestano maggiore attenzione alle transazioni con carte sospette di quanto non facciano i siti web per sospettare gli accessi. Alcuni siti Web proveranno a notare e ad adottare ulteriori misure di sicurezza se noteranno un accesso da una posizione sospetta, aggiungendo ulteriore sicurezza dietro la password. Ma i tutti sistemi di pagamento delle carte cercano di farlo. Non che abbiano sempre successo.
Non so quale effetto abbiano i lettori di casa Chip e PIN su questo. Ho appena usato il mio per confermare che il mio PIN è corretto, senza alcuna comunicazione alla banca. Potrebbe essere semplice quanto il chip è abbastanza intelligente da bloccare se stesso dopo sufficienti ipotesi errate. Questo sarebbe ancora soggetto all'attacco di 10.000 carte rubate. Si brucerebbe il 99,97% dei chip, ma questi potrebbero ancora essere utilizzati per la frode non presente della carta e l'altro 0,03% sarebbe utile per le frodi che richiedono il PIN. Naturalmente non sto per testare quella teoria con la mia scheda; -)
Gli attaccanti con la capacità di rubare carte fisiche su quella scala probabilmente non si preoccupano comunque di indovinare i PIN. Semplicemente non è il modo più efficace per estrarre denaro da carte rubate o clonate.
In breve, sì, c'è qualche rischio nell'uso di password brevi che potrebbero essere indovinate. Tuttavia, rispetto ai siti web, è molto più difficile per gli attaccanti, le banche difendono in profondità contro le frodi con le carte e hanno anche costi più elevati associati a qualcuno che dimentica un PIN di quanto non facciano i siti Web con le password. Quindi scelgono un compromesso diverso.
Vale la pena notare che una parte di questo deriva dal fatto che il DOS attraverso il log-in fasullo non è un rischio. Se, ad esempio, questo sito Web avesse un blocco totale simile (piuttosto che forse bloccando un solo IP) dopo un determinato numero di tentativi, uno potrebbe essere un fastidio facendo tentativi di indovinare la password per diversi utenti (sia che siano mirati o solo colpendo tutti gli utenti da l'elenco pubblicato ), fino a quando non vengono bloccati. Questo potrebbe in effetti essere più un problema che indovinare con successo una password; un simile attacco potrebbe rendere il sito inutile, mentre rompere con successo una password consentirebbe un vandalismo più limitato che dovrebbe essere sottile (che richiede uno sforzo), altrimenti presto verrebbe bloccato dalla moderazione.
Con una carta ATM o chip-e-PIN, la differenza in ciò che è protetto rende il lock-out più utile, mentre la necessità di avere la carta stessa (o un clone di essa) significa che qualcuno può solo bloccarci se hanno la carta, nel qual caso abbiamo perso parte della nostra sicurezza e voglio per essere bloccato.
I requisiti per le password che contengono cifre, simboli e miscele di lettere maiuscole e minuscole sono basati sull'idea che l'autore dell'attacco abbia una copia della password con hash. Poiché l'autore dell'attacco ha una copia della password hash, l'autore dell'attacco può eseguire milioni e milioni di ipotesi su di esso, basandosi su sondaggi innumerevoli voci del dizionario, oltre a variazioni, come l'aggiunta di prefissi e suffissi interi interi a ogni parola, sostituendo 0 per O e presto. L'attaccante controlla questo software di cracking, che non lo bloccherà dopo cinque tentativi falliti.
I PIN sono basati sull'idea che la memoria che contiene il PIN sia sicura in un certo senso. Questo di per sé non giustifica un semplice pin di quattro cifre: un altro fattore è che possiedi la carta che accompagna il PIN. Non è possibile ottenere denaro da un bancomat se tutto ciò che si ha è un ID utente e un PIN, ma non una carta. Se hai la carta, ma non il PIN, in modo che tu possa ridurre a indovinare, verrai bloccato dopo un numero di tentativi non riusciti. Tieni presente che il servizio di banking online, che non richiede la tua carta (solo il tuo numero di carta), non utilizza il PIN per l'accesso.
Riguardo al primo punto, di fatto, non è ragionevole supporre che l'autore dell'attacco abbia una copia della password con hash. O, piuttosto, quell'assunzione non è accettabile per me, l'utente finale. Quando un sito ci fa scegliere una password incredibilmente difficile, ci sta infatti dicendo: "non stiamo facendo alcuno sforzo per proteggere le tue informazioni personali dagli aggressori --- come il tuo hash della password" . Il problema è che, a meno che non stia riutilizzando la stessa password per più fornitori di servizi (scarsa pratica di sicurezza), la password è probabilmente la parte meno importante delle informazioni personali. Idealmente, non contiene alcuna informazione personale, anzi. Se un utente malintenzionato ha accesso alla mia password con hash, significa che l'autore dell'attacco ha accesso all'intero record utente, e questo è il problema, non la password.
Ironia della sorte, molti sistemi con questo tipo di politica limitano strongmente la lunghezza della password e rifiutano alcuni caratteri come spazi, in modo che agli utenti venga negata la ragionevole alternativa di poter usare una lunga frase password, che è più facile da ricordare e genere. Questo dimostra che le persone che stanno implementando questo controllo della password non capiscono veramente i problemi e sono più preoccupati di essere ritenuti irreprensibili copiando ciò che fanno tutti gli altri.
Le carte EC (molto utilizzate in Germania) richiedono 6 cifre, rispetto alle 4 solitamente richieste per ViSA e MasterCard. Quindi ovviamente è un po 'più sicuro, dividendo per 100 la possibilità di trovare il tuo codice PIN per puro caso, 3 tentativi sbagliati che significano il blocco della carta, naturalmente.
Leggi altre domande sui tag authentication passwords banks