Il mio broker / banca utilizza misure di sicurezza della password insufficienti?

2

Non sono esperto. Qualcuno potrebbe dirmi se sto esagerando?

Dopo la rottura delle notizie Heartbleed, ho cambiato molte password. Ecco cosa ho scoperto quando ho cambiato la password sul mio conto bancario / brokeraggio all-in-one.

Password requirements: - Include 6-8 characters and numbers
- Include at least one number between the first and last characters
- Contain no symbols (!,%,# etc.)
- Cannot match or be a subset of your Login ID

Sì, questo è massimo di 8 caratteri. Il meglio che il mio generatore di password casuale è riuscito a fare è generare una password che impiega circa 16 ore per craccare.

Ma, ho pensato, se salassero le password, allora non importa. Ecco la loro risposta alla mia domanda.

I consulted with our Technical Services division and found that, while our passwords are not salted before storage, they are on a secure, encrypted channel.

Questa operazione non è un mom'n'pop, questo è un vecchio, grande vestito con un sacco di credibilità del settore. (Che non significa molto per quanto riguarda la competenza tecnica, lo so.) Forniscono token di sicurezza su richiesta, ma perché andare a quel problema prima di qualcosa di semplice come salatura delle password?

Prima che risponda e dica loro che non considero più le mie risorse sicure con loro, mi manca qualcosa o reagisco in modo esagerato? Grazie per la luce.

    
posta wilee 24.04.2014 - 18:48
fonte

2 risposte

2

"Salatura" ha senso solo come parte di hashing della password . Dalla risposta ricevuta ("password [...] sono su un canale sicuro e crittografato"), si può dedurre che:

  • Le password non sono affatto hash. La banca è in grado di recuperare la password in qualsiasi momento.
  • Viene applicata una sorta di crittografia, sia per la memorizzazione stessa (con una chiave non specificata) sia per il trasferimento da una macchina all'altra all'interno del sistema bancario (probabilmente SSL). O forse entrambi.
  • Chiunque ti abbia risposto non ritiene che tu possa comprendere la tecnologia o non comprenda la tecnologia stessa o entrambe.

Per quanto riguarda la limitazione della lunghezza della password, è davvero un problema e una pratica molto povera, dal momento che ti impedisce di usare password con un'alta entropia e tuttavia facile da ricordare (vedi questa domanda ). Potrebbero esserci motivi tecnici (compatibilità con un sistema legacy - e ci sono molti di sistemi legacy nelle banche), ma è ugualmente plausibile che la limitazione derivi da una Tradizione poco conosciuta (vedere questa domanda ).

Ora prendiamo il punto di vista della banca. Qual è l'uso della tua password? È per proteggere i tuoi beni? No ! La password è lì per proteggere la banca . Non tu. La tua password non fa per te; è per loro.

La banca, nel suo insieme, vuole fare soldi. Gli attacchi riusciti li fanno perdere denaro, perché:

  1. devono rimborsare l'utente;
  2. devono affrontare la perdita di reputazione

Le password possono essere utilizzate per ridurre queste perdite, in diversi modi:

  • Se l'intrusione consiste nell'indovinare la password di un utente, la banca può affermare che non è colpa sua, ma è colpa dell'utente che ha scelto una password debole. Questo limita il danno alla reputazione.
  • Allo stesso modo, se riescono a segnalare all'utente di essere in errore, possono farcela a non rimborsarlo.

Se la password è strong, la probabilità di violazione viene ridotta. Tuttavia (e questo è un punto importante), password lunghe e complesse aumentano la probabilità che l'utente dimentichi la sua password. Tale evento implica una telefonata all'helpdesk, quindi una perdita di denaro. C'è un potenziale per un trade-off qui.

Ciò che deve essere ricordato è che la banca cerca di massimizzare i propri profitti e quindi utilizza criteri che non corrispondono necessariamente alla propria valutazione della situazione. Possono opporsi a veramente password utente strong se tali password implicano un costo più elevato da parte loro, sia su livelli di compatibilità con sistemi legacy o un maggiore utilizzo dell'helpdesk. Il loro miglior interesse non corrisponde necessariamente al tuo miglior interesse.

Inoltre, la sicurezza delle password è mal implementata in generale, perché non è ben compresa, come è dimostrato dall'abbondanza di miti che fluttuano intorno (ad esempio il mito secondo cui includere segni di punteggiatura migliora la sicurezza). Che la banca sia vecchia non significa che sia valida per gestire la tecnologia recente.

In ogni caso, la maggior parte dei casi di furto del conto bancario non è dovuta a una password troppo facile da indovinare, ma a una password che è stata rubata con un keylogger. È probabile che l'effetto delle "regole per la password" non si manifesti nemmeno statisticamente, quindi la banca non ha un modo reale per misurare quanto sia efficiente o inefficiente quella politica di sicurezza specifica.

    
risposta data 24.04.2014 - 19:13
fonte
0

Capisco il requisito Cannot match or be a subset of your Login ID ma ... massimo 8 caratteri e nessun simbolo? Tutto ciò che sta facendo limita fondamentalmente la sicurezza della tua password e non offre nulla. Diamine se hanno cancellato le password perché limitare i caratteri / quanti caratteri si possono avere in loro?

Anche il fatto che le password non siano salate è anche preoccupante poiché se non li salverà chi garantisce che li memorizzino addirittura come hash e non in chiaro, proprio lì nel loro database, lasciando ogni dipendente che ha accesso ad esso per leggere le tue password.

Before I write back and tell them I no longer consider my assets safe with them, am I missing something or just overreacting?

Non stai esagerando affatto. Non penserei nemmeno di usare una banca che abbia misure di sicurezza simili a questo, ricorda che non è un account, è la maggior parte del tuo denaro.

    
risposta data 24.04.2014 - 19:05
fonte

Leggi altre domande sui tag