Ho appena ricevuto un'e-mail dalla mia cooperativa di credito dicendo che stanno riprogettando il loro servizio di online banking e che dovrò cambiare la mia password entro il 22 ottobre per conformarmi al nuovo limite di 10 caratteri. Il limite attuale è di 20 caratteri.
Riduce la massima entropia della password da 125 a 54 bit (secondo KeePass), compromettendo la sicurezza delle password. Ancora più importante, però, temo che questa sia la prova che gli architetti web dietro questa riprogettazione non hanno alcuna conoscenza in merito alla sicurezza.
Domande:
- Mi sto agitando per niente? 10 caratteri sono effettivamente sufficienti anche se sei limitato a lettere e numeri?
- In caso contrario, esistono regolamenti che specificano o raccomandano una lunghezza massima della password per i servizi bancari online?
- Puoi consigliare un riferimento sulle best practice sulla sicurezza dei siti Web. Posso inviare la mia unione di credito per sostenere il mio caso che 10 caratteri sono inadeguati?
Aggiorna
Ho contattato oggi la mia unione di credito (un sabato) per le loro pratiche di sicurezza e qualcuno in realtà ha risposto all'e-mail lo stesso giorno. A giudicare dalle risposte, sembra che abbiano fornitori fuori sede che gestiscono password, sistema di domande di sicurezza e simili, e le password sono crittografate e mai archiviate come testo normale. Inoltre, ora consentono alle password di contenere simboli anziché solo lettere / numeri, in modo da migliorare leggermente la forza massima di una password rispetto a quello che pensavo (anche se è ancora una riduzione rispetto ai requisiti originali). Quindi, anche se non sono del tutto convinto che la sicurezza del sito sia ottimale, non sembra un disastro completo. Grazie per tutti i consigli e le risposte.