为什么银行密码这么弱？

Question

出于兴趣，也因为它激怒了我，我想知道SOmebody是否碰巧在一家银行工作，或者以其他方式知道答案。

我曾经使用过几个在线银行网站(英国和N.America)，它们有时普遍使用/[\w\d]{6,8}/的密码模式，也许你可以使用下划线，但你从来没有机会拥有(或多或少)你会遇到的每一个银行网站的/.{6,20}/。

有人告诉我，这与存储空间有关，但数学似乎不支持这一点。假设银行为您的密码记录保留了影子表，那么让我们慷慨地说，每个帐户平均有10个帐户，然后根据8 8char 8位现有格式将允许的密码长度翻一番，并将字符集的位宽加倍，这意味着额外的11*2*8 =每个帐户176字节，因此每1M个帐户~168 10。比方说，它是一家支持1亿账户的庞大银行-还只有16‘s！

不会那么简单吧？我的数字肯定是离谱了。

或者，这里的答案是，银行作为银行，没有比它们拖拖拉拉的恐龙更好的理由了。

有谁知道我的密码比我的银行密码更强的技术原因吗？

Answer 1

实际上，我现在在一家银行工作，过去我曾在很多银行工作过。

发生这种情况的主要原因是，一般来说，最终负责作出这些决定的人并不是最终执行这些决定的人。银行的“业务单位”是非技术业务专家，他们最终做出了这些决定。在许多情况下，由于政治或商业原因，技术上的反对意见将被驳回。但这并不是银行业独有的。在任何行业都会发生这种情况，在这些行业中，技术考虑往往不是首要问题。

Answer 2

如果我听说过某些银行的故事是真的..。

这是因为每当你输入密码：

网络服务器

• 通过半公里长的串行电缆将其发送到废弃办公室中的一个旧386上，运行银行经理在1989年使用的用户界面(使用自定义黑客版本BorlandC1.0编译)，它没有串行接口，所以它必须通过另一个设备模拟AT键盘上的按键。
• 这个程序将你的请求包括你的密码(使用一种无法再使用但不能在软件中禁用的自定义算法加密)插入到另一个废弃办公室的NetWare文件服务器上的FoxPro数据库中(仅仅是因为如果他们试图移动它就会掉下来。)
• 回到第一个废弃的办公室，另一个旧386，不断轮询FoxPro数据库寻找新记录，检测到这一请求，并通过一个更慢的串行电缆(这一次在EBCDIC中)转发到第三个办公室的另一个盒子，该盒子正在模拟运行维护accounts.
• Unfortunately的实际COBOL程序的PDP11，该程序仍然需要真正的PDP11，因为它有另一个安全加密算法的自定义微码(它们无法提取该算法，否则反篡改设备会删除它)。PDP11无法处理自1981年(第一次尝试取消该帐户失败的一年)以来所有帐户增加的工作量，因此现在(通过另一层屏幕刮板和模拟硬盘)，它被欺骗为代表主服务器执行子集的功能(包括密码验证)。

因此，您的密码只能使用所有这些系统支持的字符集的公共子集，并且只能使用所涉及的最短数据库字段。

Answer 3

银行主要使用在线服务作为传统系统的接口。您的密码可能在某个地方由IBM大型机处理，是用Cobol编写的，密码结构可能是在70年代设计的。

此外，由于银行是这样的政治结构，管理层主要看到的是“具体”结果，因此，直到安全问题成为一个热点问题才得到解决，然后才有一个“主动”来解决这一问题。

在我工作的一家银行，生产密码与userid相同(与使用"root“”root“登录相同)。用户密码可以在线重置为您姓的前N个字母+ SSN的最后4个数字的组合，因此任何用户都可以重置您的密码，如果他们知道您的名字，SSN和loginas您。