La mia unione di credito sta riducendo la lunghezza massima della password a 10 caratteri

22

Ho appena ricevuto un'e-mail dalla mia cooperativa di credito dicendo che stanno riprogettando il loro servizio di online banking e che dovrò cambiare la mia password entro il 22 ottobre per conformarmi al nuovo limite di 10 caratteri. Il limite attuale è di 20 caratteri.

Riduce la massima entropia della password da 125 a 54 bit (secondo KeePass), compromettendo la sicurezza delle password. Ancora più importante, però, temo che questa sia la prova che gli architetti web dietro questa riprogettazione non hanno alcuna conoscenza in merito alla sicurezza.

Domande:

  1. Mi sto agitando per niente? 10 caratteri sono effettivamente sufficienti anche se sei limitato a lettere e numeri?
  2. In caso contrario, esistono regolamenti che specificano o raccomandano una lunghezza massima della password per i servizi bancari online?
  3. Puoi consigliare un riferimento sulle best practice sulla sicurezza dei siti Web. Posso inviare la mia unione di credito per sostenere il mio caso che 10 caratteri sono inadeguati?

Aggiorna

Ho contattato oggi la mia unione di credito (un sabato) per le loro pratiche di sicurezza e qualcuno in realtà ha risposto all'e-mail lo stesso giorno. A giudicare dalle risposte, sembra che abbiano fornitori fuori sede che gestiscono password, sistema di domande di sicurezza e simili, e le password sono crittografate e mai archiviate come testo normale. Inoltre, ora consentono alle password di contenere simboli anziché solo lettere / numeri, in modo da migliorare leggermente la forza massima di una password rispetto a quello che pensavo (anche se è ancora una riduzione rispetto ai requisiti originali). Quindi, anche se non sono del tutto convinto che la sicurezza del sito sia ottimale, non sembra un disastro completo. Grazie per tutti i consigli e le risposte.

    
posta devuxer 20.10.2012 - 00:14
fonte

6 risposte

21

ATTENZIONE: non cambiare la password!

Questo sembra esattamente ciò che i truffatori farebbero per indurti a dare loro la tua password. Pensi davvero che la tua banca invierà un messaggio come questo venerdì con una scadenza appena terminata nel fine settimana, quindi non hai la possibilità di chiamarli per la verifica?

    
risposta data 20.10.2012 - 11:52
fonte
15

Qui ci sono due diverse prospettive.

Implicazioni per te (un utente esperto). Se scegli la tua password in modo appropriato, è possibile che tu scelga la tua password in modo sufficientemente strong. Se scegli una password casuale di 10 caratteri, in cui ogni personaggio viene scelto in modo casuale e indipendente da a-zA-Z0-9 (62 possibilità), la tua password avrà 59 bit di entropia. Questo è più che sufficiente nella pratica: è più che sufficiente che l'identificazione delle password sia improbabile sia l'attacco più facile al sistema, e più che sufficiente per garantire che la tua password non sia probabilmente il link più debole del sistema.

Implicazioni per l'utente medio. È una domanda diversa se questa modifica è una buona idea, dato come normalmente gli utenti scelgono normalmente la propria password. La mia opinione: penso che sia una cattiva idea. Molti utenti scelgono password basate su parole o frasi. Questi tipi di password hanno molti meno di 5.7 bit di entropia per carattere, quindi il limite di lunghezza può avere un impatto maggiore sull'utente medio. Inoltre, il limite di lunghezza esclude lunghe passphrase, che sono uno dei modi migliori per scegliere una password complessa.

In conclusione. È possibile utilizzare in modo sicuro il sistema del tuo credito sindacale, quindi per te l'impatto potrebbe essere relativamente minore. Tuttavia, ciò non significa che il loro cambiamento sia una buona idea. Penso che introdurre un massimo di 10 caratteri sulla lunghezza della password sia una cattiva idea e una decisione piuttosto dubbia da parte loro, quindi sì, mi preoccuperebbe che stiano prendendo delle decisioni sbagliate - ma l'impatto per te in particolare è probabilmente carino modesto, se scegli la tua nuova password in modo appropriato.

Per te, sinceramente, sarei più preoccupato per altri vettori di minacce, come il malware sulla tua macchina, piuttosto che per indovinare la password. Inoltre, la qualità della loro implementazione può avere un'influenza maggiore del limite di lunghezza. Se limitano il numero di ipotesi che un utente malintenzionato può fare, se eseguono l'hash e salano le password memorizzate in modo appropriato e se hanno modi coraggiosi per prevenire perdite del database delle password, una password di 10 caratteri non è probabilmente il collegamento più debole del loro sistema.

La cosa più importante che ti consiglio di mettere a fuoco è questa: se sul tuo account c'è un'attività non autorizzata (ad esempio, qualcuno ha effettuato l'accesso al tuo account ed esegue una transazione che non hai richiesto), chi è responsabile? La tua unione di credito promette di rimborsarti e renderti integro per qualsiasi perdita? Lo dichiarano per iscritto nelle loro politiche? Se lo fanno, questo è il loro problema, non il tuo problema. In caso contrario, si sta assumendo un rischio considerevole indipendentemente da quali potrebbero essere le politiche relative alle password. Negli Stati Uniti, la mia impressione è che sostanzialmente tutte le banche prometteranno di rimborsarti per eventuali transazioni non autorizzate, se il tuo è un account consumer (non un account aziendale). Personalmente, non farei affari con una banca che non ha promesso di rimborsarmi: cambierei banca se la mia banca avesse cercato di darmi delle responsabilità.

    
risposta data 20.10.2012 - 03:35
fonte
9

Le banche, così come le unioni di credito, sono soggette alla guida del FFIEC , PCI non necessariamente guida o influenza le banche o il credito sindacati, o i requisiti per i loro membri per accedere ai loro account online (probabilmente il vostro PAN completo non è nemmeno accessibile dal sito Internet banking della vostra banca).

Ci sono alcune cose da considerare qui in termini di rischio, che diventeranno più importanti nel prossimo paragrafo. Cosa puoi fare sul sito web della CU? Puoi trasferire denaro su un conto esterno o pagare le bollette su un conto al di fuori della UC? Molte istituzioni finanziarie offrono solo una funzionalità di rendicontazione online indebolita. In questo caso, il tuo saldo può essere esposto, ma nessuno cancellerà il tuo account e, si spera, stiano comunque correggendo il tuo numero di conto completo. Quali altri fattori sono in atto per controllare l'accesso - domande di sfida, chiave del sito (immagini personali), CAPTCHA, immissione di password grafica, crittografia delle credenziali lato client, ecc. Esistono meccanismi che rendono difficile l'esecuzione effettiva di una forza bruta attacco.

Penso che una domanda importante da porre qui sia se la CU sta implementando o meno l'autenticazione a più fattori per l'online banking, che sta diventando più importante in quanto le autorità di regolamentazione lo stanno sottolineando. Dal 2005, la FFIEC ha spinto le istituzioni finanziarie a utilizzare il multi-fattore - vedi FIL-103-2005 (scarica il PDF completo in fondo). C'è stata una spinta all'aggiornamento dall'anno scorso con FIL-50-2011 . Se sei curioso di conoscere ulteriori requisiti di sicurezza IT per le banche e le cooperative di credito, puoi consultare il manuale IT di FFIEC . In generale, le linee guida FFIEC si applicano anche alle unioni di credito: è una organizzazione inter-agenzia . Se si dispone di MFA, il rischio che una password più breve venga forzata bruta o scoperta in modo significativamente più basso. Nota, questo dovrebbe essere vero come il fattore telefono o un token, le immagini di tipo sit-key non sono autentiche autenticazione a più fattori.

È anche possibile che abbiano integrato alcuni servizi di terze parti che non funzionano con password lunghe, ci sono ancora alcuni fornitori che hanno offerte legacy che possono essere molto di nicchia o altre attrattive per le tue istituzioni finanziarie.

    
risposta data 20.10.2012 - 04:13
fonte
3

EDIT: come sottolineato dai commenti seguenti, PCI non si applica agli istituti finanziari a meno che non offrano carte di credito

==

Mi dispiace, la conformità PCI-DSS richiede solo una lunghezza di 7. Non ho il testo di fronte a me, ma la sezione è 8.5.10.

Qualcun altro può probabilmente citare il paragrafo appropriato.

    
risposta data 20.10.2012 - 03:52
fonte
0

Dal punto di vista di un hacker etico, limitare la lunghezza della password può sembrare un po 'ridondante. È stato dimostrato che le password più lunghe sono più valide rispetto ai password cracker piuttosto che a quelle complesse e brevi. Tuttavia, è standard avere una lunghezza minima e massima della password a causa di problemi di archiviazione (la memorizzazione di password lunghe e lunghe può essere difficile e richiede molte risorse). Avere un limite di lunghezza della password può anche aiutare a prevenire attacchi e sostituzioni di estensione della lunghezza.

    
risposta data 16.08.2017 - 21:11
fonte
0

La lunghezza della password è molto, molto più importante della cosiddetta complessità, e 12 caratteri sono una buona dimensione minima in questo momento. La dimensione massima di 10 caratteri è solo un po 'meno stupida del limite di 8 caratteri che non avevamo molto tempo fa su molti sistemi.

Detto questo, le approssimazioni numeriche di KeePass e di altri strumenti hanno un impatto limitato sulla sicurezza effettiva. Ci sono molti modi per ottenere una password in cui la lunghezza non conta o non molto.

    
risposta data 11.06.2018 - 14:49
fonte

Leggi altre domande sui tag