web-dev-qa-db-ja.com

私の信用組合は、パスワードの最大長を10文字に減らしています。

信用組合から、オンラインバンキングサービスを再設計していること、および10文字の新しい制限に合わせるために10月22日までにパスワードを変更する必要があることを知らせるメールを受け取りました。現在の制限は20文字です。

これにより、パスワードの最大エントロピーが125ビットから54ビットに減少し(KeePassによると)、パスワードのセキュリティが低下します。しかし、もっと重要なことに、これは、この再設計の背後にいるWebアーキテクトがセキュリティについて無知であることの証拠であると私は恐れています。

質問:

  1. 私は何もせずに取り組まれていますか?文字と数字に制限されていても、実際には10文字で十分ですか?
  2. そうでない場合、オンラインバンキングサービスのパスワードの最大長を指定または推奨する規制はありますか?
  3. 10文字が不十分であるという私の主張を強化するために信用組合を送ることができるWebサイトのセキュリティのベストプラクティスの参照を推奨できますか?

更新

私は今日(土曜日)に信用組合にセキュリティ慣行について連絡しましたが、実際に誰かが同じ日に電子メールに返信しました。回答から判断すると、パスワードやセキュリティ質問システムなどを処理するオフサイトベンダーがあり、パスワードは暗号化されてプレーンテキストとして保存されることはないようです。また、パスワードに文字/数字だけでなく記号を含めることができるようになりました。これにより、パスワードの最大強度が私が思ったよりも少し向上します(ただし、元の要件からの削減です)。したがって、サイトのセキュリティが最適であると私は完全には確信していませんが、それは完全な災害のようには聞こえません。すべてのアドバイスとフィードバックをありがとう。

22
devuxer

警告:パスワードを変更しないでください!

これは、詐欺師があなたをだましてパスワードを知らせようとする方法とまったく同じです。銀行が金曜日にこのようなメッセージを送信し、締め切りが週末だけであるため、確認のために電話する機会がないと本当に思いますか?

21
Jeff

ここには2つの異なる視点があります。

あなた(上級ユーザー)への影響適切にパスワードを選択すると、十分に強力な方法でパスワードを選択することができます。各文字がa-zA-Z0-9(62の可能性)からランダムに独立して選択される、ランダムな10文字のパスワードを選択した場合、パスワードには59ビットのエントロピーがあります。これは、実際には十分です。パスワード推測がシステムへの最も簡単な攻撃である可能性が低く、パスワードがシステムで最も弱いリンクである可能性が低いことを確実にするのに十分です。

平均的なユーザーへの影響一般的なユーザーが通常パス​​ワードを選択する方法を考えると、この変更が良いアイデアかどうかは別の質問です。私の意見:それは悪い考えだと思います。多くのユーザーは、単語やフレーズに基づくパスワードを選択します。これらの種類のパスワードは、1文字あたりのエントロピーが5.7ビットよりはるかに少ないため、長さ制限は平均的なユーザーに大きな影響を与える可能性があります。また、長さ制限により、強力なパスワードを選択する最良の方法の1つである長いパスフレーズは除外されます。

結論信用組合のシステムを安全に使用することは可能であるため、影響は比較的小さいかもしれません。しかし、それは彼らの変化が良い考えであることを意味しません。パスワードの長さの最大10文字を導入することは悪い考えであり、彼らにとってかなり疑わしい決定だと思うので、そうです、彼らが間違った決定をしているのではないかと心配になります-しかし、特にあなたへの影響はおそらくかなり大きいです新しいパスワードを適切に選択した場合は、控えめです。

率直に言って、私は、パスワードの推測よりも、マシン上のマルウェアなどの他の脅威ベクトルに関心があります。また、それらの実装の品質は、長さの制限よりも大きな影響を与える可能性があります。攻撃者が行うことができる推測の数を制限する場合、格納されたパスワードを適切にハッシュおよびソルトする場合、およびパスワードデータベースのリークを防ぐための強力な方法がある場合、10文字のパスワードはおそらくシステムの最も弱いリンクではありません。

私が注目することをお勧めする最も重要なことはこれです:アカウントに不正なアクティビティ(たとえば、誰かがあなたのアカウントをハッキングして、あなたがリクエストしていないトランザクションを実行する)がある場合、誰に責任がありますか?あなたの信用組合はあなたに払い戻しをして、あなたに損害を与えると約束しますか?彼らはこれを彼らの方針に書面で述べていますか?もしそうなら、これは彼らの問題であり、あなたの問題ではありません。そうでない場合は、パスワードポリシーがどのようなものであっても、かなりのリスクを負っています。米国では、私の印象は、基本的にすべての銀行が不正な取引についてあなたに払い戻すことを約束するということですifあなたがあなたのビジネスアカウントではない(ビジネスアカウントではない) )。個人的には、返済することを約束しなかった銀行とは取引しません-私の銀行が私に責任を負わせようとした場合は銀行を切り替えます。

15
D.W.

銀行および信用組合は [〜#〜] ffiec [〜#〜] からのガイダンスの対象となりますが、PCIは必ずしも銀行や信用組合、またはメンバーがオンラインアカウントにアクセスするための要件に影響します(あなたの完全なPANはおそらく銀行のインターネットバンキングサイトからもアクセスできません)。

リスクに関してここで考慮すべきことがいくつかあります。これは次の段落でより重要になります。 CUのWebサイトで実際に何ができますか?外部の口座に送金したり、CUの外部の口座に請求書を送ったりできますか?多くの金融機関は、実際には機能を削ったオンラインのステートメント機能しか提供していません。この場合、残高が露出する可能性がありますが、誰もあなたのアカウントを消去することはできません。うまくいけば、彼らはあなたの完全なアカウント番号をとにかく編集しています。アクセスを制御するために他にどのような要素がありますか-チャレンジ質問、サイトキー(個人の画像)、CAPTCHA、グラフィカルなパスワード入力、資格情報のクライアント側の暗号化など。実際にブルートフォースを実行することを困難にするメカニズムがありますか?攻撃。

ここで尋ねる重要な質問は、CUがオンラインバンキングの多要素認証を実装しているかどうかであると思います。規制当局がストレスをかけるにつれて、CUはより重要になってきています。 2005年以降、FFIECは金融機関に多要素の使用を推進しています- FIL-103-2005 を参照してください(完全版をダウンロードPDFの下部にあります。昨年から FIL-50-2011 の更新プッシュが行われています。銀行と信用組合のITセキュリティ要件については、 FFIEC ITハンドブック を参照してください。一般に、FFIECガイダンスは信用組合にも適用されます。 機関間組織 。MFAを使用している場合は、短いパスワードがブルートフォースされる、またはその他の方法で大幅に低いパスワードが発見されるリスクがあります。注意してください。電話要素やトークンのようなMFA、シットキータイプの画像は、真の多要素認証ではありません。

また、長いパスワードでは機能しないサードパーティのサービスが統合されている可能性もあり、非常にニッチであるか、金融機関にとって魅力的なレガシー製品を提供しているベンダーも存在します。

9
Eric G

編集:以下のコメントで指摘されているように、PCIはクレジットカードを提供しない限り金融機関には適用されません

==

PCI-DSSコンプライアンスに必要な長さは7のみです。前にテキストがありませんが、セクションは8.5.10です。

他の誰かがおそらく適切な段落を引用することができます。

3
Bradley Kreider

パスワードの長さは、いわゆる複雑さよりもはるかに重要であり、現時点では12文字が適切な最小サイズです。最大10文字のサイズは、多くのシステムでこれまでになかった8文字の制限よりも少しばかげています。

とはいえ、KeePassやその他のツールの数値近似は、実際のセキュリティへの影響は限定的です。パスワードを取得する方法はたくさんありますが、長さは重要ではありません。

0
Tom

倫理的なハッカーの観点からは、パスワードの長さを制限することは少し冗長に見えるかもしれません。より長いパスワードは、短い複雑なパスワードよりも、パスワードクラッカーに対して自分自身を保持することが証明されています。ただし、ストレージの問題により、パスワードの最小長と最大長は標準となっています(長いパスワードを安全に保管することは困難で、リソースを消費する可能性があります)。パスワードの長さに制限を設けることで、長さ拡張攻撃や上書きを防ぐこともできます。

0