una seguras partir para palabra online masivo lista generador ejemplos dificiles contraseñas claves passwords onlinebanking

passwords - seguras - generador de contraseñas wifi



¿Por qué las contraseñas bancarias son tan débiles? (5)

Actualmente trabajo en un banco y he trabajado en bastantes en el pasado.

La razón principal por la que esto sucede es que, en general, las personas que son responsables en última instancia de tomar estas decisiones no son las personas que terminan implementándolas. La "Unidad de negocio" de un banco son los expertos en negocios no técnicos que terminan tomando estas decisiones. En muchos casos, las objeciones técnicas serán anuladas por razones políticas o comerciales. Pero esto no es exclusivo de la banca. Sucede en cualquier industria donde las consideraciones técnicas a menudo no son la principal preocupación.

Fuera de interés y porque me enfurece, me preguntaba si alguien podría trabajar para un banco o conocer la respuesta a esto.

He usado algunos sitios de banca en línea (Reino Unido y América del Norte) y ellos hacen cumplir universalmente un patrón de contraseña de /[/w/d]{6,8}/ A veces, tal vez se utiliza el guión bajo, pero nunca se usa Tienes /.{6,20}/ que obtienes (más o menos) con casi todos los sitios bancarios que encontrarás.

Me han dicho que esto tiene que ver con el espacio de almacenamiento, pero las matemáticas no parecen apoyar eso. Suponiendo que los bancos mantengan tablas ocultas para su registro de contraseña, digamos generosamente un promedio de 10 por cuenta, duplicar la longitud permitida de la contraseña y doblar el ancho de bits del juego de caracteres basado en un formato existente de 8char 8 bits significa un 11 adicional 2 * 8 = 176 bytes por cuenta, por lo que ~ 168Mb por cuentas de 1M. Digamos que es un gigantesco banco que respalda cuentas de 100 millones, ¡eso sigue siendo solo 16 Gb!

No puede ser tan simple, ¿verdad? Seguramente mis números están fuera de base.

¿O la respuesta aquí es que los bancos son bancos? No tienen una mejor razón para esto de lo que están haciendo con los dinosaurios.

¿Alguien sabe una razón técnica por la cual mi contraseña para www.random.com/forum es más fuerte que la de mi banco?


Probablemente la mayoría de los sistemas bancarios se desarrollaron hace mucho tiempo, cuando las contraseñas de 8 caracteres se consideraban seguras. No creo que nadie considere las contraseñas de fuerza bruta de las cuentas bancarias de todos modos, 8 caracteres todavía es mucho. Apuesto a que todos los bancos bloquean una cuenta después de 3 intentos más o menos.


Aquí hay un "error" que obtuve registrado en Bugzilla con respecto a un sitio que había creado para un cliente recientemente (¡no un banco, afortunadamente!):

"Parece que el usuario se ve obligado a usar un! O _ en su contraseña * que me parece un poco extraño. ¿Se puede actualizar esto para que sea una contraseña de 6 a 8 dígitos que solo puede usar caracteres alfanuméricos?"

  • En realidad, fue al menos un personaje no alfanumérico

Los bancos usan servicios en línea principalmente como una interfaz para sistemas heredados. Es probable que su contraseña esté siendo procesada por un mainframe de IBM en algún lugar, escrito en Cobol, y la estructura de la contraseña puede haber sido diseñada en los años 70.

Además, debido a que los bancos son estructuras políticas de este tipo, la administración ve principalmente resultados "concretos", por lo que asuntos como la seguridad no se abordan hasta que se convierte en un tema candente y luego existe una "iniciativa" para abordarlo.

En un banco para el que trabajé, la contraseña de producción era la misma que el ID de usuario (la misma idea que iniciar sesión con "raíz" "raíz"). Las contraseñas de los usuarios se pueden restablecer en línea a una combinación de primeras N letras de su apellido + últimos 4 dígitos de su número de seguro social, por lo que cualquier usuario podría restablecer su contraseña si supieran su nombre y número de seguro social y lo conecta.


Si las historias que escuché sobre ciertos bancos son ciertas ...

Es porque cada vez que ingresas tu contraseña:

  • El servidor web lo envía a través de un cable en serie de medio kilómetro de longitud a un antiguo 386 en una oficina abandonada, ejecutando la interfaz de usuario (compilada utilizando una versión pirateada a medida de Borland C 1.0) que los administradores del banco utilizaron en 1989, lo que no ocurre No tiene una interfaz en serie, por lo que debe pasar por otro dispositivo que simule pulsaciones de teclas en un teclado AT.
  • Este programa inserta su solicitud, incluida su contraseña (cifrada mediante un algoritmo personalizado que es demasiado débil para ser utilizada pero que no se puede desactivar en el software) en una base de datos FoxPro en un servidor de archivos NetWare en una oficina abandonada diferente en el extremo opuesto del construyendo (solo porque caería en pedazos si trataban de moverlo)
  • Detrás en la primera oficina abandonada, otro 386 viejo, constantemente sondeando la base de datos FoxPro para nuevos registros, detecta esta solicitud y la reenvía por un cable serial aún más lento (esta vez en EBCDIC) a otra caja en una 3ra oficina que está emulando un PDP11 corriendo el programa real COBOL que mantiene las cuentas.
  • Desafortunadamente, todavía necesitan el PDP11 real , porque tenía un microcódigo personalizado para otro algoritmo de cifrado seguro (que no pueden extraer o el dispositivo antimanipulación lo borrará). El PDP11 no puede manejar la mayor carga de trabajo de todas las cuentas abiertas. desde 1981 (el año de su primer intento infructuoso de retirarlo), ahora (a través de otra capa de raspadores de pantalla y discos duros emulados) se engaña para que realice un subconjunto de funciones (incluida la verificación de contraseñas) en nombre del servidor principal.

Por lo tanto, su contraseña solo puede usar el subconjunto común de los juegos de caracteres admitidos por todos estos sistemas, y solo puede ser tan larga como el campo de base de datos más corto involucrado.