我的经纪公司/银行是否使用劣质的密码安全措施？

Question

我不是专家。有人能告诉我我是不是反应过度了吗？

心脏出血消息传出后，我更改了很多密码。以下是我在我的银行/经纪在线账户上更改密码时发现的情况。

密码要求：-包含6-8个字符和数字 -在第一个和最后一个characters之间至少包含一个数字-不包含符号(!，%，#等)-无法匹配或成为登录ID的子集

是的，最多8个字符。我的随机密码生成器所能做的最好就是生成一个密码，这个密码大约需要16个小时才能破解。

但是，我想，如果他们加了密码，那就无所谓了。这是他们对我问题的答复。

我咨询了我们的技术服务部门，发现虽然我们的密码在存储前没有被腌制，但它们在一个安全、加密的通道上。

这不是一个妈妈的行动，这是一个古老的，大的装备与许多行业信誉。(我知道，就技术能力而言，这并不意味着什么。)它们根据请求提供安全令牌，但为什么要在基本的密码(如盐渍密码)之前解决这个问题呢？

在我回信并告诉他们我不再认为我的资产与他们安全之前，我是遗漏了什么还是反应过度了？谢谢你给我的灯棚。

Answer 1

只有作为密码散列的一部分，“盐渍”才有意义。从您得到的响应(“...位于安全的加密通道上”)，您可能会推断：

• 密码根本没有散列。银行可以随时恢复您的密码。
• 有些加密被应用于存储本身(带有未指定的密钥)或银行系统中从一台机器到另一台机器的传输(可能是SSL)。或者两者都有。
• 回答你的人并不认为你能理解技术，也不认为你自己不懂技术，或者两者都懂。

至于密码长度的限制，这确实是一个问题，也是一个非常糟糕的实践，因为它阻止您使用高熵且容易记住的密码(请参阅这个问题)。这可能有技术上的原因(与遗留系统的兼容性-银行中有很多遗留系统)，但同样有道理的是，这种限制来自于人们对传统的认识不足(参见这个问题)。

现在让我们从银行的角度来看。你的密码有什么用？是为了保护你的资产吗？不！密码是用来保护银行的。不是你。你的密码不是给你的，是给他们的。

作为一个整体，这家银行想赚钱。成功的攻击会使他们赔钱，因为：

1. 他们必须退还用户；
2. 他们必须处理声誉的损失。

密码可以通过以下几种方式来减少这些损失：

• 如果入侵是通过猜测用户的密码进行的，那么银行可以声称这不是他们的错，而是选择弱密码的用户的错误。这限制了名誉的损害。
• 同样，如果他们可以指出用户的错误，他们可能会逃脱不退还他。

如果密码是强的，那么破门而入的可能性就会降低。然而(这是一个重要的问题)，长而复杂的密码增加了用户忘记密码的可能性。这种情况意味着要打电话到服务台，从而造成金钱损失。这里有一种交易的潜力。

必须记住的是，银行试图最大化自己的利润，因此使用的标准不一定符合你自己对情况的评估。他们可能会反对真正强大的用户密码，如果这样的密码意味着更高的成本，无论是在兼容层与遗留系统或增加服务台的使用。他们的最大利益不一定与你的最大利益相匹配。

此外，密码安全在一般情况下没有得到很好的实现，因为它没有得到很好的理解，到处流传着大量的神话(例如，神话中说包括标点符号可以提高安全性)。银行老了并不意味着它擅长处理最新的技术。

在任何情况下，大多数情况下，银行账户盗窃不是因为密码太容易猜测，而是由于一个密码被偷了一个密钥记录器。很可能，“密码规则”的影响甚至没有在统计上显示出来，因此银行没有真正的方法来衡量具体的安全政策有多有效或效率有多低。

Answer 2

我明白Cannot match or be a subset of your Login ID的要求但是..。最多8个字符而没有符号？所做的一切基本上是限制您的密码的安全程度，而没有提供任何东西。见鬼，如果他们散列密码，为什么要限制你可以在密码中包含多少字符呢？

此外，密码没有被盐碱化的事实也令人担忧，因为如果他们不对密码进行盐化，谁保证他们甚至会将密码存储在数据库中，而不是在数据库中以纯文本的形式存储，让所有能够读取密码的员工都能读取这些密码。

在我回信并告诉他们我不再认为我的资产与他们安全之前，我是遗漏了什么还是反应过度了？

你一点反应都没有。我甚至不会考虑使用类似的安全措施的银行，记住这不是任何帐户--这是你的大部分钱。