Bank acepta una contraseña diferente a la que configuré

21

No estoy especialmente versado en seguridad de TI, así que por favor, tengan paciencia conmigo.

Recientemente descubrí que el sistema en línea de mi banco aceptará contraseñas que consisten en la contraseña correcta y una cadena de caracteres aleatorios. Entonces, por ejemplo, si mi contraseña es "contraseña", aceptará cosas como "contraseña1" o "contraseña43435". Estoy bastante seguro de que esto no debería ocurrir con ningún tipo de método hashing + salt, o incluso con una comparación de cadenas. Me preocupa que sea terriblemente inseguro, así que me pregunto si hay algún método seguro para almacenar contraseñas que permita que cosas como estas sucedan. Y si no, ¿puede alguien explicar cómo suceden las cosas como esta?

    
pregunta Llwyd 22.01.2014 - 18:19
fuente

2 respuestas

13

Claro que sí, pero esto no significa que sea una buena práctica.

Probablemente su banco esté cortando su contraseña a ocho caracteres (este límite fue muy utilizado en los sistemas antiguos). Su banco simplemente toma los primeros ocho caracteres de la cadena, la codifica y la compara con su propia clave. Esto es seguro, al menos, tan seguro como el límite de longitud de su contraseña.

Hay más posibilidades, como probar cada hash en la cadena con los primeros 4,5,6,7 ... N (donde N es la longitud de la cadena que el usuario ingresó) hasta que encuentran una coincidencia, pero Creo que mi primera suposición es la buena =)

Por lo tanto, tendrá un inicio de sesión tan seguro como sus primeros ocho caracteres (o la cantidad que están usando). Si simplemente usan el segundo método (lo cual dudo mucho), el inicio de sesión será tan seguro como la longitud de su contraseña.

No disfrutaré de que mi banco lo haga, pero ... Tenga en cuenta que tienen la responsabilidad si son hackeados, ya que su dinero está garantizado por ellos (pero tendrá dolores de cabeza).

    
respondido por el kiBytes 22.01.2014 - 18:23
fuente
9

No es muy seguro, pero con los bancos este es un patrón muy común. Lo que probablemente suceda es que tienen un sistema de back-end (piense en el mainframe u otra plataforma heredada) que tiene un límite superior en la longitud de la contraseña.

Entonces, supongo que lo que están haciendo es truncar la contraseña, probablemente antes de pasarla al mainframe para su almacenamiento. Sobre esa base, podrían estar codificando correctamente la contraseña siempre y cuando la trunquen siempre antes de hacerla. Alternativamente, pueden cifrarlo y utilizar algún tipo de hardware de seguridad (por ejemplo, un módulo de seguridad de hardware (HSM)) para proteger las claves de cifrado.

    
respondido por el Rоry McCune 22.01.2014 - 18:25
fuente

Lea otras preguntas en las etiquetas