Bank mi obbliga a usare sei caratteri alfanumerici

Naviga le tue risposte
7

La mia banca (è Westpac, una delle più grandi in Australia) ha delle strane restrizioni sulle password. Hanno una lunghezza massima di 6 caratteri e devono contenere solo i caratteri A-Z e le cifre da 0 a 9, e non c'è la distinzione tra maiuscole e minuscole.

Sono abituato a usare password molto più lunghe o persino passphrase per altri account online, e sembra che la forza della password della banca sia relativamente debole. D'altra parte, la password per la mia finanza sembra una che dovrebbe essere molto più importante di altre cose come accessi ai forum, account ebay ecc ...

Quindi perché una banca importante non ti lascia scegliere una password più strong? Dovrei essere preoccupato per la loro sicurezza?

    
posta wim 18.10.2012 - 07:09
fonte

3 risposte

14

Ciò significa che stanno quasi definitivamente memorizzando le password in testo in chiaro in un campo di database di 6 caratteri. Se stessero conservando solo un hash (salato), come dovrebbero, allora non si preoccuperebbero della lunghezza della password poiché la funzione hash produrrebbe un valore di una dimensione fissa indipendentemente dalla lunghezza dell'input (password).

La tua banca probabilmente utilizza ancora sistemi degli anni '70 (o prima che il settore standardizzasse l'hashing salato) e non prendevano seriamente la sicurezza delle password per risolvere il problema. Questo è il caso di molte banche. Dovresti iniziare lamentandoti.

    
risposta data 18.10.2012 - 16:34
fonte
4

Se non è nemmeno illegale (visto che la password di sei caratteri è l'unico meccanismo di autenticazione), è sicuramente preoccupante. Questo basso livello di sicurezza in una banca mi sorprende!

Ho dato un'occhiata alle loro pagine di sicurezza dove ti dicono che pagheranno se il tuo conto è comprimato. Ad ogni modo, se quella banca avesse perso le proprie credenziali, immagino che ogni password sarebbe stata scomposta in pochi minuti. Un alfabeto di 36 lettere è semplicemente orrendo.

Vedo che hanno i token SecurID per i loro clienti gratuitamente. Ne prenderò uno immediatamente.

    
risposta data 18.10.2012 - 07:43
fonte
3

Come altri hanno indicato, è indicativo di misure di sicurezza che non sono all'altezza degli standard moderni. Tuttavia, una valutazione del rischio sembra indicare che il rischio di danni finanziari ai singoli clienti è basso (se non zero). Questo perché la banca ha indicato (secondo Henning Klevjer) che i clienti non perderanno soldi in caso di compromissione.

La banca può soddisfare un tale impegno? Quasi certamente. Nell'eventualità di un compromesso diffuso, avrebbero il potere di invertire qualsiasi trasferimento di denaro illegittimo, e noterebbero se fossero state ritirate ingenti somme di denaro (e la cosa bella del denaro fiat è che si può sempre stampare di più!) D)

Quindi, mentre dovresti comunque praticare una buona sicurezza il più possibile (es. Usa tutti i tipi di caratteri che puoi, non riutilizzare le password, renderli casuali), sembra che il tuo reale rischio di perdita in questo caso sia basso.

    
risposta data 18.10.2012 - 21:20
fonte

Leggi altre domande sui tag

Come posso dimostrare di aver scritto un determinato post sul blog? Strategia di sicurezza Robots.txt?