Qué hacer cuando se le pide una contraseña débil

Navega tus respuestas
4

Los tipos que hicieron la seguridad para el banco estatal de mi país están completamente locos en todos los sentidos. Su contraseña de banca por Internet debe tener entre 8 y 10 caracteres y contener solo letras y dígitos.
No creo que deba subrayar lo increíblemente atrasadas que son estas restricciones.

En otra noticia, la contraseña de mi tarjeta debe ser exactamente 4 números. Estoy bastante seguro de que la mayoría de las contraseñas son de un año, y muy posiblemente un año entre la primera mitad del siglo pasado y la actual .

Mientras tanto, mi contraseña de correo electrónico tiene ... 35 caracteres .

Lo único que no es público necesario para configurar la cuenta bancaria en línea es tener esa contraseña de 4 números. También se usa en sus cajeros automáticos, junto con una contraseña que no le confiere mayúsculas y mayúsculas que el banco le da. Supongo que se dieron cuenta de que sus contraseñas eran débiles, por lo que pensaron, "hey, vamos a agregar otra contraseña insegura".

Hablando de cajeros automáticos, ejecutan una versión de Windows que creo que está entre 9x y 2k, cuyo escritorio vi en un cajero automático cuyo software parecía haber sufrido un desbordamiento de búfer (había una ventana de símbolo del sistema abierta). Esto no me asegura que tomen en serio la seguridad.

Entonces la pregunta es:

Cuando se le pide una contraseña débil, en el sentido de que el conjunto de caracteres y el recuento son limitados, ¿qué hace?

Consideré el hash de mi contraseña actual, pero sería una molestia generar el hash todo el tiempo. Mi solución actual consiste en aplicar un algoritmo rememberable a la contraseña de 35 caracteres mencionada anteriormente que uso en mi correo electrónico.

Editar: a pesar de que se haya aceptado una respuesta, puedes compartir tus pensamientos.

    
pregunta Camilo Martin 20.03.2012 - 06:11
fuente

4 respuestas

6

Como se discutió en la sección de comentarios, la seguridad basada en contraseña es mínima para la banca, ya que vale la pena el esfuerzo de un ladrón para intentar robar su contraseña. Básicamente solo tienen que infiltrarse en su navegador y registrar sus entradas. Además, si esto se logra, tienen acceso completo.

Los enfoques como el hash u otros algoritmos no son realmente importantes, ya que todavía estará ingresando una contraseña que debe cumplir con los límites establecidos. Por lo tanto, en realidad solo estás haciendo que sea más difícil de recordar para ti mismo, pero alguien que intenta hacer fuerza bruta, aunque todavía es un montón de personajes para la fuerza bruta, todavía tiene que hacer el mismo esfuerzo.

También discutimos otros enfoques, como los tokens de seguridad, que personalmente prefiero, y las contraseñas de un solo uso basadas en SMS. La idea del primero es que debe tener su tarjeta a mano y usarla para establecer una firma. Sin embargo, la mayoría de las implementaciones no conectadas funcionan al firmar un número (hash) que la mayoría de los usuarios no pueden relacionar con la acción que está a punto de llevar a cabo, por lo que un atacante inteligente puede intentar engañarlo cambiando los números en la pantalla y los números reales . Aquí es donde entra el token conectado, que utiliza su pantalla para mostrarle la acción completa que está a punto de permitir, que es probablemente el método seguro más utilizable que existe en este momento. Sin embargo, no tengo idea de que los bancos apoyen estas técnicas en su región.

Finalmente, con la seguridad bancaria, la auditoría es lo más importante. Revise sus estados de cuenta para las transacciones locas e informe de ellos lo antes posible. Este sigue siendo el mejor enfoque para la seguridad bancaria. Recuerde, por ejemplo, que el fraude con la tarjeta de crédito no es tan difícil, pero tampoco es difícil recordar la transacción.

    
respondido por el Legolas 20.03.2012 - 12:19
fuente
3

Lo que estoy escuchando es que no está satisfecho con su banco. Si no está satisfecho con las protecciones de seguridad de su banco, le sugiero que cambie de banco o no utilice los servicios bancarios en línea de su banco.

Personalmente, no creo que el enfoque de su banco sea tan irracional. Por supuesto, sería más inteligente si no pusieran un límite superior a la longitud de la contraseña, pero en el gran esquema de las cosas, esto es algo secundario. Tienes que mantener un sentido de perspectiva sobre esto:

  • En primer lugar, cualquier contraseña, sin importar qué tan larga y sólida sea, proporciona una base imperfecta para realizar operaciones bancarias de forma segura. Por lo general, solo la contraseña no es suficiente para obtener acceso a la cuenta bancaria en línea; la mayoría de los bancos requerirán algo más, porque saben que la contraseña tiene limitaciones inherentes.

  • Segundo, una contraseña de entre 8 y 10 caracteres, compuesta de letras y dígitos, puede ser más que segura, si se elige al azar. Suponiendo que elija que cada carácter sea una letra o un dígito aleatorio (62 posibilidades para cada carácter), una contraseña de 10 caracteres que se elige de manera uniforme al azar tiene casi 60 bits de entropía, más que suficiente para estos fines. Entonces, si está preocupado, simplemente elija su contraseña bancaria al azar.

  • En tercer lugar, muchos bancos ofrecen garantías de que si se piratea su cuenta bancaria en línea y alguien realiza transacciones no autorizadas, el banco le reembolsará las pérdidas. Si su banco ha tomado esa posición, entonces estas cuestiones son responsabilidad del banco, no de usted. ¿Por qué preocuparse por eso? Si su banco no ha hecho ese tipo de promesas, entonces tiene más problemas para usar sus servicios bancarios en línea y acepta el riesgo o no.

respondido por el D.W. 21.03.2012 - 01:21
fuente
0

Ok, aquí está mi opinión. Usando Keepass (o cualquier administrador de contraseñas) puede generar una contraseña aleatoria como esta "CslmHD5Rh6" Esta es una contraseña bastante segura. Según grc haystack, las posibilidades de romper esta contraseña serían de 1 en 853,058,371,866,181,866. La única forma de romper esto sería con el hash de la contraseña, que si pudieran obtener los hashes sería un problema mayor para la seguridad del banco. Sin embargo, con el hash llevaría 3.25 meses a 100 mil millones de conjeturas por segundo. Que en realidad es mucho. En 2013, Edward Snowden advirtió sobre la capacidad de la NSA para descifrar contraseñas en 1 billón de suposiciones por segundo. Aquí, en 2016, un pirata informático podría tener esas velocidades, pero sería escandaloso para ellos dedicar tanto tiempo a una contraseña segura como esa.

    
respondido por el keepass_fan 25.01.2016 - 22:31
fuente
-1

Parece que trabajas allí según tu descripción, pero fue un poco vago. Si realiza transacciones bancarias con este banco, movería mi cuenta y "encontraría" a los ejecutivos de las cuentas de correo electrónico y me quejaría de lo inseguro que es y de que difundirá el mensaje a otros titulares de cuentas y los trasladará a un banco decente. El pin de 4 dígitos en las tarjetas ha sido la "norma" durante todo el tiempo que puedo recordar. Si trabajas allí, recomendaría el uso de algo como YubiKey, que agregaría una capa de seguridad física y es bastante barato ($ 25 o menos). Chequea enlace - No estoy afiliado de ninguna manera con ninguna compañía que vende productos, solo soy un Geek con un trabajo Geeky que disfruta jugar con los juguetes Geeky. er, me refiero a "probar en el trabajo", no jugar con los juguetes / hardware de Geeky (a la administración no le gustan las palabras "jugar con") De nuevo, si esta información se hiciera pública perderían negocio. Eso debería ser una venta fácil para implementar otra capa de seguridad.

    
respondido por el Brad 20.03.2012 - 19:18
fuente

Lea otras preguntas en las etiquetas

Explotación de canales encubiertos y el modelo MAC de Bell-LaPadula ¿Es posible falsificar la solicitud posterior y omitir maxlength en el cuadro de entrada?