Perché alcuni siti Web delle banche utilizzano password che non fanno distinzione tra maiuscole e minuscole?

20

Recentemente sono stato portato alla mia attenzione che un certo sito Web di una grande banca consente agli utenti di accedere con password che non fanno distinzione tra maiuscole e minuscole. Dopo aver confermato ciò, ho controllato gli altri siti web con cui ho effettuato il pagamento e ho trovato un secondo sito Web di una grande banca che fa la stessa cosa. Non ho controllato i loro client mobili.

Per me sembra che questo riduca la sicurezza, in quanto aumenta il numero di password uniche che possono essere utilizzate per accedere al mio account. C'è una ragione comune e / o una giustificazione per questo da un punto di vista della sicurezza? La principale ragione per la mancata sicurezza che ho potuto trovare è che riduce le chiamate all'helpdesk relative alle password sensibili al maiuscolo / minuscolo.

    
posta MDMoore313 17.04.2015 - 15:16
fonte

3 risposte

34

La ragione più probabile è che il backend supporta solo password insensibili alle maiuscole e minuscole. Per citare OWASP :

Occasionally, we find systems where passwords aren't case sensitive, frequently due to legacy system issues like old mainframes that didn't have case sensitive passwords.

Le probabilità che questo accada sono molto più alte con vecchie istituzioni noiose come grandi banche che stanno ancora utilizzando i mainframe nel datacenter.

    
risposta data 17.04.2015 - 15:30
fonte
15

In genere, è una scelta tra usabilità e sicurezza. Gli utenti hanno una quantità sorprendente di problemi con le maiuscole nella password, quindi la capitalizzazione della password prima di eseguirne l'hashing rende più semplice l'utente.

Ovviamente, ciò diminuisce anche l'entropia massima di una password di una determinata lunghezza. Per compensare, dovresti usare password più lunghe ... Se sei limitato ad un numero sciocco come "10 caratteri max" (nel qual caso hai il diritto di chiedermi se gestiscono realmente le password in modo sicuro).

    
risposta data 17.04.2015 - 15:32
fonte
5

Uno dei motivi per cui le banche spesso hanno insensibilità alle maiuscole e minuscole nelle loro password è a causa del phone banking: le banche esistevano FAR prima che esistesse Internet, anche prima che i telefoni fossero una cosa. Così, una volta che i telefoni si sono diffusi, molte delle principali banche hanno permesso alle persone di fare affari bancari via telefono. ha senso: tutto ciò di cui hai bisogno sono due numeri di conto e un codice per verificare che tu sia quello che sta facendo la transazione. Per questo codice, di solito andavi all'istituto bancario.

Tuttavia, dal momento che era necessario inserire il codice utilizzando il tastierino numerico sul telefono, il sistema rispondeva semplicemente al numero presse, non alla password effettiva. Ciò significa che non c'era nemmeno una distinzione tra lettere maiuscole e minuscole, perché non c'era differenza nel modo in cui le immettevi su un tastierino numerico.

Una volta arrivato l'internet banking, questi sistemi utilizzavano un back-end simile al sistema bancario del telefono, incluso l'uso delle stesse password in modo che gli utenti non dovessero ricordare password extra. Tuttavia, questo ha portato al problema che era banale fare la differenza tra una lettera maiuscola e una maiuscola, e il modo in cui le password venivano inserite nel sistema durante l'era delle banche telefoniche era incoerente: alcuni cassieri usavano le maiuscole, altre usavano lettere minuscole alcuni usano CamelCase, ... Per impedire alle persone di dover tornare alla loro banca per chiarire questo, hanno dovuto rendere le password insensibili alle maiuscole e minuscole. Nota che questa parte potrebbe non essere applicabile a tutte le banche, ma alcune banche hanno questa ragione.

Fonti:

link - articolo di Wikipedia sulla banca telefonica;

link - Articolo sul sito web della banca belga in materia di banca telefonica;

link - Articolo sulla grande banca britannica sulla banca telefonica.

    
risposta data 17.04.2015 - 20:14
fonte

Leggi altre domande sui tag