La mia banca (e ogni banca che ho incontrato) chiede sempre i singoli caratteri della mia password al momento dell'accesso. La mia banca memorizza la mia password in testo semplice?
Sono d'accordo con la risposta di StrangeWill ; sembra che lo stiano memorizzando con una crittografia reversibile, che per molti scopi equivale a memorizzarla come testo normale - poiché un utente malintenzionato in pieno controllo dei propri sistemi può recuperare la password in chiaro.
Assicurati che la tua password per la tua banca non venga riutilizzata per altri scopi; anche se questa è sempre una buona pratica - esp per tutto ciò in cui la sicurezza è un problema e non si sta amministrando personalmente i sistemi.
Se non memorizzano la password in un formato reversibile, devono avere hash pre-memorizzati per ognuna delle 56 permutazioni diverse (se la tua password è lunga 8 caratteri, ci sono 8 choose 3=56 modi per scegliere 3 caratteri da it) della tua password; e ha cancellato ogni permutazione con un lungo sale unico (quindi le tabelle arcobaleno non sono possibili). Tuttavia, se un utente malintenzionato sui propri sistemi ha mai trovato i propri hash; potrebbero facilmente ricostruire la tua password poiché la tua password effettiva per ogni sale è lunga solo tre caratteri. Ci vorrebbero circa 80 3 ~ mezzo milione di tentativi per rompere un hash; o circa 28 milioni di tentativi di crack tutti i 56. Dal momento che una singola GPU moderna può generare miliardi di hash (standard - md5 / sha1) al secondo; questo è brutalmente forzato in meno di un secondo. Potrebbero rinforzarlo un po 'usando hash crittograficamente sicuro (bcrypt) o stretching chiave - anche se questo sembra improbabile a causa di il gran numero di hash che dovranno calcolare per archiviare e controllare le tue password combinate con dato quanto sia debole inizialmente (e aggiunge il rischio di attacchi DoS al modulo di autenticazione).
FYI: il motivo per cui la tua banca ha deciso questo metodo è che aiuta a prevenire gli attacchi di riproduzione. Ad esempio, se si accede alla banca su un computer non sicuro su cui era in esecuzione un keylogger, il keylogger non sarà in grado di accedere al prossimo tentativo con gli stessi tre caratteri che si sono appena utilizzati. Questo è un po 'complicato da fare in pratica (ad esempio, devi assicurarti che i tre caratteri richiesti non cambino se l'utente non immette una password e ci riprova più tardi (da un indirizzo IP diverso) che otterrai bloccato e chiamare la banca dopo aver pronunciato 10 tentativi errati consecutivi, ecc.)
Probabilmente lo stanno immagazzinando con la crittografia reversibile. Anche se senza un controllo del loro sistema è impossibile sapere veramente , ma questo è abbastanza probabile a causa dei loro elevati requisiti di sicurezza.
Alcuni possibili scenari
Ovviamente non è un elenco completo, quindi sentiti libero di modificare aggiungere commenti a questo
Come precedentemente affermato, semplicemente non lo saprai a meno che non te lo dicano.
Tuttavia, vale la pena sottolineare che molte banche (soprattutto quelle più grandi) pongono restrizioni alla complessità delle password perché l'interfaccia web è semplicemente un front-end per un sistema mainframe vecchio di decenni che aveva restrizioni corrispondenti per altri motivi. Ciò non significa che le password non vengano sottoposte a hash, significa semplicemente che il sistema antico non può accettare determinati tipi (o lunghezze) di input per altri motivi sciocchi.
È meglio? Non necessariamente. Ma almeno non è necessariamente un riflesso di incompetenza.
Solo speculazioni, ma forse hanno trovato un modo per utilizzare la crittografia Homomorphic sul carattere (o il valore Unicode) per fornire protezione
Leggi altre domande sui tag passwords