Dovrei fidarmi della mia banca dopo questo [chiuso]

Naviga le tue risposte
1

Ho appena scoperto che posso accedere alla mia banca con password che non sono mie.

Esempio:

La mia password è "1234", ma sono autorizzato con tutti i possibili caratteri post. Ad esempio "12345" o "12341234" mi autorizzeranno.

Si noti inoltre che la mia password mi è stata assegnata dalla banca (quattro cifre) e il login è un normale modulo html (nome utente tipo di input testo / password tipo di input password)

Perché una banca dovrebbe progettare un tale protocollo di autenticazione e questo è qualcosa di cui dovrei preoccuparmi?

    
posta user35356 09.12.2013 - 13:04
fonte

3 risposte

3

La meta domanda sul fatto che tu ti fidi della tua banca non è responsabile qui :-)

Tuttavia la domanda principale è rispondente:

Is accepting further characters after my password is matched good practice?

Se hanno un codice di accesso fisso a 4 cifre, saranno troncati a 4 e lasceranno il resto - il che significa che non influirà affatto sulla sicurezza.

Per sapere veramente se stanno troncando, dovresti chiedere alla banca.

    
risposta data 09.12.2013 - 13:11
fonte
3

La mia banca sta facendo lo stesso, tranne che con 6 numeri invece di 4. Permettono solo 6 numeri come password di banking online.

Dovresti fidarti della mia banca dopo aver saputo di troncare la password inserita? Bene, penserei che il problema più grande qui è limitare la password a 4 caratteri.

Il problema con la fiducia è che è qualcosa che tu devi giudicare. Pensi che una password di 4 caratteri sia sufficiente per proteggere le tue informazioni finanziarie e / o le azioni che possono essere eseguite tramite l'interfaccia online? (Io non). D'altra parte, la mia banca implementa un login di autenticazione a due fattori e un meccanismo aggressivo di limitazione dell'accesso che, a mio parere, compensa leggermente la debolezza della password.

Poiché la tua domanda è basata sull'opinione pubblica, ma con un buon merito, riassumerò la mia risposta affermando la mia opinione: Non mi fiderei di una banca con un sistema di autenticazione come quello della tua banca.

    
risposta data 09.12.2013 - 13:42
fonte
1

La lunghezza fissa, le password non modificabili sono molto deboli e quindi una cattiva idea per un sito bancario. Questo è il motivo per cui i regolatori bancari di tutto il mondo richiedono l'uso di password complesse per il banking online, generalmente con un minimo di 8 caratteri con almeno un carattere numerico maiuscolo e un carattere numerico (questo è ciò che gli auditor sembrano cercando, i regolatori in genere non specificano cosa significa "strong"). In effetti, la maggior parte dei regolatori sta spingendo per una sorta di autenticazione a 2 fattori, utilizzando un token o una sorta di "informazioni memorizzate".

Nelle aree in cui la regolamentazione bancaria non è strong, molte banche hanno ancora una scarsa sicurezza della password e la tua banca sembra essere una di quelle. Per rispondere alle tue domande specifiche:

  • Perché una banca dovrebbe progettare un tale protocollo di autenticazione: perché è molto semplice da configurare e non è necessario fare di meglio. Implementare un sistema migliore costerà loro denaro che sono restii a spendere
  • È qualcosa di cui dovrei preoccuparmi: Sì, dimostra che la tua banca non ha le competenze o non ha la motivazione per fare meglio. Nessuno dei due mi ispirerebbe con fiducia, e sarei in cerca di un posto migliore dove mettere i miei soldi se fosse io
risposta data 09.12.2013 - 13:38
fonte

Leggi altre domande sui tag

Memorizzazione dei codici a barre dei tenant in un database C'è un modo per ottenere informazioni dal router [chiuso]