私は専門家ではありません。私が過剰反応している場合、誰かに教えてもらえますか?
Heartbleedのニュースが報じられた後、私は多くのパスワードを変更しました。オールインワンの銀行/仲介業者のオンラインアカウントでパスワードを変更したときに発見したことは次のとおりです。
パスワード要件:-6〜8文字と数字を含める
-最初の文字と最後の文字の間に少なくとも1つの数字を含めます
-記号が含まれていません(!、%、#など)
-ログインIDと一致することもサブセットになることもできません
はい、最大8文字です。私のランダムパスワードジェネレータが実行できた最善の方法は、解読に約16時間かかるパスワードを生成することです。
しかし、私は、彼らがパスワードを塩漬けにするなら、それは問題ではないと考えました。これが私の質問に対する彼らの回答です。
テクニカルサービス部門に相談したところ、パスワードは保存前にソルトされていませんが、安全な暗号化されたチャネル上にあることがわかりました。
これはママとポップの操作ではありません、これは多くの業界の信用を持つ古くて大きな服です。 (これは、技術的な能力に関してはあまり意味がありません。)要求に応じてセキュリティトークンを提供しますが、パスワードのソルトなどの基本的なことを行う前に、なぜその問題に取り組むのでしょうか。
返信して、自分の資産が安全であるとは考えていないことを伝える前に、何かが足りないのでしょうか、それとも過剰反応しているのでしょうか。光を当ててくれてありがとう。
「ソルティング」は パスワードハッシュ の一部としてのみ意味があります。受け取った応答(「パスワード[...]は安全な暗号化されたチャネル上にあります」)から、次のように推測できます。
パスワードの長さの制限については、エントロピーが高く、覚えやすいパスワードを使用できないため、実際には問題であり、非常に不適切な方法です( この質問 を参照)。それには技術的な理由があるかもしれません(レガシーシステムとの互換性-そして銀行にはレガシーシステムのlotがあります)が、制限が来ることも同様にもっともらしいですよく理解されていない伝統から( この質問 を参照)。
それでは、銀行の視点を見てみましょう。パスワードの用途は何ですか?あなたの資産を保護するためですか?番号 !パスワードはbankを保護するためにあります。あなたではありません。あなたのパスワードはあなたのためではありません。それは彼らのためです。
銀行は全体として、お金を稼ぎたいと思っています。攻撃が成功すると、次の理由でお金を失うことになります。
パスワードは、いくつかの方法でこれらの損失を減らすために使用できます。
パスワードが強力な場合、侵害の可能性は低くなります。しかし(そしてそれは重要なポイントです)、長くて複雑なパスワードはユーザーの確率を高めます忘却彼のパスワード。このような事態は、ヘルプデスクへの電話、つまりお金の損失を意味します。ここではトレードオフの可能性があります。
覚えておかなければならないのは、銀行は自身の利益を最大化しようとしているため、状況のあなた自身の評価と必ずしも一致しない基準を使用しているということです。really強力なユーザーパスワードは、レガシーシステムとの互換性レイヤーやヘルプデスクの使用量の増加など、コストが高くなることを意味する場合、反対する可能性があります。彼らの最善の利益は必ずしもあなたの最善の利益と一致するとは限りません。
さらに、パスワードのセキュリティは、よく理解されていないため、一般的に実装が不十分です。これは、さまざまな神話が浮かんでいることからもわかります(たとえば、句読点を含めるとセキュリティが向上するという神話)。銀行がoldであるということは、最近のテクノロジーをうまく処理できるという意味ではありません。
いずれにせよ、銀行口座の盗難のほとんどのケースは、推測しやすいパスワードではなく、キーロガーで盗まれたパスワードが原因です。 「パスワードルール」の効果は統計的にも現れない可能性があります。そのため、銀行には、特定のセキュリティポリシーがどれほど効率的または非効率的であるかを測定する実際の方法がありません。
Cannot match or be a subset of your Login ID
の要件は理解していますが、最大8文字で、記号はありませんか?基本的に、パスワードの安全性を制限するだけで、何も提供されません。彼らがパスワードをハッシュするのなら、なぜあなたがそれらに入れることができる文字数/文字数を制限するのですか?
また、パスワードがソルトされていないという事実も心配です。ソルトしないと、データベースにプレーンテキストではなくハッシュで保存され、アクセスできるすべての従業員がパスワードを読み取れるようになるためです。パスワード。
返信して、自分の資産が安全であるとは考えていないことを伝える前に、何かが足りないのでしょうか、それとも過剰反応しているのでしょうか。
あなたはまったく過剰反応していません。私はこれに似たセキュリティ対策を備えた銀行を使用することさえ考えません、これはあなたのお金の大部分であるアカウントではないことを覚えておいてください。