Politica di password errata presso la mia banca

6

Sono entrato nella mia banca stasera e mi è stato chiesto che tutti i clienti fossero costretti a cambiare le loro password per "ragioni di sicurezza".

Il criterio per le nuove password è: da 6 a 10 caratteri, senza caratteri speciali, senza caratteri ripetuti, senza distinzione tra maiuscole e minuscole.

La mia vecchia password era molto meglio di questa. Ho usato un generatore di password casuali.

Non sono un esperto di sicurezza ma sembra una politica lassista. Sono troppo paranoico? Questo è un account aziendale.

Dovrei sospettare che io stesso sia stato violato?

Nota: il numero della carta bancomat non fa parte del processo di autenticazione online della banca.

Nota 2: sono andato a Misuratore password ed è stato in grado di mettere insieme alcune password che soddisfano questi criteri e che Password Meter ha ritenuto "Molto strong". Ho torto di essere ancora preoccupato?

    
posta Link Green 10.05.2015 - 09:48
fonte

4 risposte

1

Sì, è una politica di password errata, ma è mitigata da:

  • autenticazione secondo fattore
  • Funzionalità di blocco degli account forti
  • sai che è una cattiva politica

Non confrontarlo con le politiche che mirano a resistere al cracking offline: se temi paura della password offline nella tua banca, puoi anche temere che la password venga annusa.

    
risposta data 02.06.2015 - 01:07
fonte
0

La tua banca potrebbe utilizzare un prodotto come l'Adaptive Authentication di RSA. Utilizza più attributi per valutare il comportamento (ad esempio indirizzo IP, ora di accesso, impronta digitale del dispositivo, ecc.) Per garantire che l'accesso sia corretto. Potrebbe anche essere legato a un vero essere umano facendo analisi di anomalie, o addirittura legato a una terza parte come Equifax.

La mia banca mi consente di avere una password dinky e non ne sono felice, ma so anche che hanno almeno il software RSA in background che aggiunge controlli aggiuntivi.

    
risposta data 21.05.2015 - 22:55
fonte
0

Questa è una cattiva politica delle password per la maggior parte degli standard, ma qui c'è il più vecchio problema (o scusa) nel libro (almeno per le banche canadesi):

Sicurezza contro convenienza

Le banche non ritengono che la perdita sia importante per la comodità dell'utente. Il fatto è che non stanno perdendo abbastanza soldi a causa dell'hacking (almeno finora) per considerare di ostacolare l'esperienza dell'utente.

link

L'autenticazione a 2 fattori può attenuarlo un po ', ma non molto.

* @ Joseph ha ragione, dovresti lamentarti perché più persone si lamentano ed espongono questo, più possono fare qualcosa al riguardo. Quello che non capisco è perché non lo offrono senza forzare nessuno, quindi almeno lo è se lo desideri. Intendo nemmeno Cap sensibile ... comune.

    
risposta data 02.07.2015 - 19:22
fonte
0

Bene, la maggior parte delle persone che pubblicano qui sono preoccupate per la sicurezza e per lo più usano password complesse per questo motivo.

Ma la banca ha un'altra preoccupazione: gli utenti che usano "123456" come password e si sentono al sicuro.

Ad esempio la mia banca mi ha costretto a usare una password di carattere. Perché? Perché vogliono incoraggiare gli utenti a scegliere password sicure con alta entropia poiché sono un'opzione con password così brevi. Perché quasi tutti possono ricordare una sequenza casuale di 5 caratteri. (A proposito, l'utilizzo della carta bancaria è ancora obbligatorio per effettuare transazioni, quindi 2FA è lì)

Immagino che la tua banca abbia scoperto la stessa idea. Vogliono incoraggiare gli utenti a scegliere password sicure e quindi questa nuova politica. Questo è un male per gli utenti con buone password, ma direi (non ho statistiche reali :() che solo una piccola percentuale degli utenti usa password complesse e inattaccabili per impostazione predefinita.

Ora per giudicare la politica: penso che, per la maggior parte degli utenti, ciò è positivo in quanto sono incoraggiati a usare una password più strong e solo una minoranza deve soffrire (ironicamente, le persone che si preoccupano della sicurezza). Per il resto, puoi proporre alla banca di offrire un modo (nascosto) per ottenere una password più sicura, magari costringendo gli utenti a contattare il supporto per consentire una politica diversa.

    
risposta data 10.05.2015 - 15:12
fonte

Leggi altre domande sui tag