I ragazzi che hanno reso la sicurezza per la banca statale del mio paese sono completamente pazzi in tutti i sensi. La loro password di internet banking deve essere tra 8 e 10 caratteri e contenere solo lettere e cifre.
Non credo di aver bisogno di sottolineare quanto follemente tali restrizioni siano.
In un'altra notizia, la password della mia carta deve essere esattamente 4 numeri. Sono quasi sicuro che la maggior parte delle password sono un anno e probabilmente un anno tra la prima metà del secolo scorso e la corrente .
Nel frattempo, la mia password e-mail ha ... 35 caratteri .
L'unica cosa non pubblica necessaria per configurare l'account di online banking è di avere quella password di 4 numeri. È anche usato nei loro sportelli automatici insieme a una password insensibile alle maiuscole e alle 3 sillabe che la banca ti dà. Immagino si siano resi conto che le loro password erano deboli, quindi hanno pensato "hey, sommiamoci un'altra password insicura".
Parlando di sportelli automatici, eseguono alcune versioni di Windows che credo siano tra 9x e 2k, il cui desktop ho visto in un bancomat il cui software sembrava aver subito un overflow del buffer (c'era una finestra del prompt dei comandi aperta). Questo non mi rassicura sul fatto che prendano sul serio la sicurezza.
Quindi la domanda è:
Quando viene richiesta una password debole, nel senso che il set di caratteri e il conteggio sono limitati, cosa fai?
Ho considerato l'hashing della mia password corrente, ma sarebbe una seccatura generare l'hash tutto il tempo. La mia soluzione attuale prevede l'applicazione di un algoritmo memorabile alla password di 35 caratteri sopra menzionata che utilizzo nella mia e-mail.
Modifica: anche se una risposta è stata accettata, puoi condividere i tuoi pensieri.