一部の銀行のWebサイトで、大文字と小文字が区別されないパスワードが使用されるのはなぜですか?
最近、特定の大手銀行のWebサイトで、大文字と小文字を区別しないパスワードでユーザーがログインできることが注目されました。これを確認した後、私が銀行で利用している他のWebサイトをチェックしたところ、同じことを行うsecond大手銀行のWebサイトが見つかりました。私は彼らのモバイルクライアントをチェックしませんでした。
私のアカウントへのログインに使用できる一意のパスワードの数が増えるため、セキュリティが低下するように思えます。セキュリティの観点から、これに対する一般的な理由および/または正当化はありますか?私が思いつく可能性のある非セキュリティ上の最大の理由は、大文字と小文字を区別するパスワードに関連するヘルプデスクへの呼び出しを減らすことです。
最も可能性の高い理由は、バックエンドが大文字と小文字を区別しないパスワードのみをサポートしていることです。引用するには [〜#〜] owasp [〜#〜] :
大文字と小文字が区別されない古いメインフレームなどのレガシーシステムの問題が原因で、パスワードの大文字と小文字が区別されないシステムが見つかることがあります。
これが発生する可能性は、データセンターでメインフレームをまだ実行している大銀行などの古くからある古い機関でははるかに高くなります。
通常、それはユーザビリティとセキュリティの間の選択です。ユーザーはパスワードの大文字に驚くほどのトラブルを抱えているため、ハッシュする前にパスワードを大文字にするとユーザーにとって使いやすくなります。
もちろん、これにより、指定された長さのパスワードの最大エントロピーも減少します。これを補うために、より長いパスワードを使用する必要があります...「最大10文字」などのばかげた数字に制限されている場合(この場合、パスワードが本当に安全に処理されているかどうかを疑問視する権利があります)。
銀行がパスワードの大文字と小文字を区別しないことが多い理由の1つは、テレフォンバンキングのためです。銀行は、インターネットが存在する前に、電話が存在する前でさえ、FARでした。したがって、電話が普及すると、多くの主要な銀行が人々に電話を介して銀行業務を行うことを許可しました。それは理にかなっています。必要なのは、2つのアカウント番号と、トランザクションを実行しているのが本人であることを確認するためのコードです。このコードでは、通常、銀行に行きました。
ただし、電話のテンキーを使用してコードを入力する必要があるため、システムは実際のパスワードではなく、数字を押すだけに応答しました。つまり、テンキーでの入力方法に違いがなかったため、小文字と大文字は区別されませんでした。
インターネットバンキングが登場すると、それらのシステムは同じパスワードを使用するなど、電話バンキングシステムと同様のバックエンドを使用していたため、ユーザーは追加のパスワードを覚える必要がありませんでした。ただし、これにより、小文字と大文字を区別するのは簡単なことであり、テレフォンバンキングの時代にシステムにパスワードを入力する方法に一貫性がなかったという問題がありました。一部のテラーは大文字を使用し、一部は小文字を使用しました。 、一部はCamelCaseを使用します...これを明確にするために銀行に戻る必要がないようにするには、パスワードで大文字と小文字を区別しないようにする必要がありました。この部分はすべての銀行に適用できるわけではありませんが、一部の銀行にはこの理由があります。
出典:
https://en.wikipedia.org/wiki/Telephone_banking -テレフォンバンキングに関するウィキペディアの記事。
https://www.ing.be/en/retail/day-to-day-banking/self-banking/pages/phone.aspx?tabName=Details -電話に関するベルギーの銀行のWebサイトの記事銀行;
http://www.hsbc.co.uk/1/2/ways-to-bank/phone-banking -電話バンキングに関する英国の大手銀行に関する記事。