Cosa fare quando viene richiesta una password debole

4

I ragazzi che hanno reso la sicurezza per la banca statale del mio paese sono completamente pazzi in tutti i sensi. La loro password di internet banking deve essere tra 8 e 10 caratteri e contenere solo lettere e cifre.
Non credo di aver bisogno di sottolineare quanto follemente tali restrizioni siano.

In un'altra notizia, la password della mia carta deve essere esattamente 4 numeri. Sono quasi sicuro che la maggior parte delle password sono un anno e probabilmente un anno tra la prima metà del secolo scorso e la corrente .

Nel frattempo, la mia password e-mail ha ... 35 caratteri .

L'unica cosa non pubblica necessaria per configurare l'account di online banking è di avere quella password di 4 numeri. È anche usato nei loro sportelli automatici insieme a una password insensibile alle maiuscole e alle 3 sillabe che la banca ti dà. Immagino si siano resi conto che le loro password erano deboli, quindi hanno pensato "hey, sommiamoci un'altra password insicura".

Parlando di sportelli automatici, eseguono alcune versioni di Windows che credo siano tra 9x e 2k, il cui desktop ho visto in un bancomat il cui software sembrava aver subito un overflow del buffer (c'era una finestra del prompt dei comandi aperta). Questo non mi rassicura sul fatto che prendano sul serio la sicurezza.

Quindi la domanda è:

Quando viene richiesta una password debole, nel senso che il set di caratteri e il conteggio sono limitati, cosa fai?

Ho considerato l'hashing della mia password corrente, ma sarebbe una seccatura generare l'hash tutto il tempo. La mia soluzione attuale prevede l'applicazione di un algoritmo memorabile alla password di 35 caratteri sopra menzionata che utilizzo nella mia e-mail.

Modifica: anche se una risposta è stata accettata, puoi condividere i tuoi pensieri.

    
posta Camilo Martin 20.03.2012 - 06:11
fonte

4 risposte

6

Come discusso nella sezione commenti, la sicurezza basata su password è molto minimale per il settore bancario, in quanto vale la pena che un ladro cerchi di rubare la password. Fondamentalmente devono solo infiltrarsi nel browser e registrare le voci. Inoltre, se viene raggiunto, hanno pieno accesso.

Approcci come hashing o altri algoritmi non contano davvero, dato che continuerai a digitare una password che deve rispettare i limiti impostati. Quindi, stai solo rendendo più difficile da ricordare per te stesso, ma qualcuno che sta provando a fare bruteforce - anche se è ancora un sacco di personaggi per la bruteforcing - deve fare lo stesso sforzo.

Abbiamo anche discusso di altri approcci, come i token di sicurezza, che personalmente preferisco, e le password one time basate su SMS. L'idea del primo è che devi avere la tua carta a portata di mano e usarla per impostare una firma. Tuttavia, la maggior parte delle implementazioni non connesse funziona firmando un numero (hash) che la maggior parte degli utenti non può riferirsi all'azione che sta per accadere, quindi un attaccante intelligente potrebbe tentare di ingannare cambiando i numeri sullo schermo e i numeri reali . È qui che entra in gioco il token connesso, che utilizza il suo display per mostrarti l'azione completa che stai per consentire, che è probabilmente il metodo di sicurezza più utilizzabile al momento. Tuttavia, non ho idea delle banche che supportano queste tecniche nella tua regione.

Infine, con la sicurezza bancaria, l'auditing è la cosa più importante. Controlla le tue dichiarazioni per le transazioni pazze e segnalale al più presto possibile. Questo è ancora il miglior approccio alla sicurezza bancaria. Ricorda, ad esempio, che le frodi con carta di credito non sono così difficili, ma ricordare la transazione non è difficile neanche.

    
risposta data 20.03.2012 - 12:19
fonte
3

Quello che sento è che non sei soddisfatto della tua banca. Se non sei soddisfatto delle protezioni di sicurezza della tua banca, ti suggerirei di cambiare banca o di non utilizzare i servizi bancari online della tua banca.

Personalmente, non penso che l'approccio della tua banca sia così grossolanamente irragionevole. Certo, sarebbe più intelligente se non mettessero limiti superiori alla lunghezza della password, ma nel grande schema delle cose, questo è un po 'secondario. Devi mantenere un senso di prospettiva su questo:

  • Prima di tutto, qualsiasi password, non importa quanto lunga e strong, fornisce una base imperfetta per il banking in modo sicuro. Solitamente solo la password non è sufficiente per accedere al conto bancario online; la maggior parte delle banche richiederà qualcosa di più, perché sanno che la password ha limitazioni intrinseche.

  • In secondo luogo, una password compresa tra 8 e 10 caratteri, composta da lettere e cifre, può essere più che adeguatamente sicura, se scelta casualmente. Supponendo che tu scelga ogni carattere come lettera o cifra casuale (62 possibilità per ogni carattere), una password di 10 caratteri scelta in modo casuale a caso ha quasi 60 bit di entropia - più che sufficiente per questi scopi. Quindi, se sei preoccupato, scegli la password della tua banca in modo casuale.

  • In terzo luogo, molte banche garantiscono che se il tuo conto bancario online viene violato e qualcuno effettua transazioni non autorizzate, la banca rimborserà le tue perdite. Se la tua banca ha preso quella posizione, questi problemi sono responsabilità della banca, non dei tuoi - perché preoccuparsi di ciò? Se la tua banca non ha fatto questo tipo di promesse, allora hai più di un enigma se utilizzare i loro servizi bancari online e accettare il rischio o meno.

risposta data 21.03.2012 - 01:21
fonte
0

Ok, ecco la mia opinione. Usando Keepass (o qualsiasi gestore di password) potresti generare una password casuale come questa "CslmHD5Rh6" Questa è una password abbastanza sicura. Secondo grc haystack le possibilità di rompere questa password sarebbero 1 su 853,058,371,866,181,866. L'unico modo per rompere questo sarebbe con l'hash della password che se fossero in grado di ottenere gli hash sarebbe un problema più grande per la sicurezza della banca. Però, con l'hash ci vorrebbero 3,25 mesi a 100 miliardi di ipotesi al secondo. Che in realtà è molto. Nel 2013 Edward Snowden ha ammonito sulla capacità dell'NSA di decifrare le password a 1 trilione di tentativi. Qui nel 2016 un hacker potrebbe avere quelle velocità, ma sarebbe scandaloso per loro dedicare così tanto tempo a una password così strong.

    
risposta data 25.01.2016 - 22:31
fonte
-1

Sembra che tu ci lavori basandoti sulla tua descrizione, ma era un po 'vago. Se conti con questa banca, sposterei il mio account e "troverei" gli account di posta elettronica dei dirigenti e mi lagnerei di quanto sia insicuro e che diffonderai la parola ad altri titolari di account e li trasferirò in una banca decente. Il perno a 4 cifre sulle carte è stato la "norma" per tutto il tempo che posso ricordare. Se lavori lì ti consiglio di utilizzare qualcosa come YubiKey che aggiungerebbe un livello di sicurezza fisica ed è piuttosto economico ($ 25 o giù di lì) chekc out link - Non sono affiliato in alcun modo con nessuna società che vende prodotti, solo un Geek con un lavoro Geek che ama giocare con i giocattoli Geeky. er, intendo "testing at work" che non gioca con i giocattoli / hardware di Geeky (la gestione non ama le parole "giocare con") Di nuovo, se queste informazioni diventassero pubbliche, perderebbero gli affari. Dovrebbe essere una vendita facile per implorare un altro livello di sicurezza.

    
risposta data 20.03.2012 - 19:18
fonte