Originalmente tiene que ver con la dificultad de un ataque de fuerza bruta en la contraseña.
La mayoría de los sitios web están preocupados por la posibilidad de que algún atacante pueda apoderarse de un archivo que contenga las contraseñas con hash de todos, y realizar un ataque de fuerza bruta sin conexión con eso. Un atacante correctamente configurado podría hacer millones de suposiciones por segundo (tasa exacta dependiendo de si las contraseñas se han activado mediante el uso de un algoritmo adecuado y la cantidad de silicio que el atacante puede aplicar al problema). Así que incluso 8 caracteres no son suficientes.
Los bancos (por varias razones para hacer con sus diferentes modelos de seguridad) no creen que puedan perder archivos que contienen PIN o sus hashes sin darse cuenta, o de todos modos no están más preocupados que con la pérdida de millones Cualquier otra forma de robo a un banco. Si desea realizar un ataque de fuerza bruta en el PIN de alguien (dejando a un lado los lectores de Chip y PIN de su hogar), debe colocar su tarjeta en un cajero automático u otro dispositivo conectado al sistema bancario y escribir un número. Es lento, y la máquina se come la tarjeta después de 3 intentos erróneos.
Algunos sitios web utilizan un bloqueo similar para evitar ataques de adivinación de contraseñas en línea, pero la principal preocupación que impulsa la necesidad de seguridad de la contraseña es la pérdida de los hashes de contraseñas. La principal preocupación que impulsa la (falta de) necesidad de contar con PIN es el uso de la tarjeta física (o un clon de la misma, cuando se utiliza la tecnología de banda magnética).
Tenga en cuenta que todavía hay un defecto no trivial en la versión simple del modelo que he descrito. Si roba 10,000 tarjetas de crédito y realiza 3 conjeturas en cada PIN de 4 dígitos, esperará obtener 3 correctas. Naturalmente, sin embargo, un solo cajero automático notará que algo anda mal si tiene que comer 100 tarjetas seguidas, por lo que sospecho / espero que la policía esté en camino antes de esa fecha. Los PIN de las tarjetas de adivinación son riesgosos para el atacante.
En general, los bancos también prestan más atención a las transacciones de tarjetas sospechosas que los sitios web a los inicios de sesión sospechosos. Algunos sitios web intentarán notar y tomar medidas de seguridad adicionales si notan un inicio de sesión desde una ubicación sospechosa, agregando seguridad adicional detrás de la contraseña. Pero todos los sistemas de pago con tarjeta intentan hacer esto. No es que siempre tengan éxito.
No sé qué efecto tienen los lectores de chips y PIN en el hogar. Acabo de usar el mío para confirmar que mi PIN es correcto, sin ninguna comunicación con el banco. Puede ser tan simple como que el Chip sea lo suficientemente inteligente como para bloquear a sí mismo después de suficientes conjeturas incorrectas. Esto aún estaría sujeto al ataque de 10,000 cartas robadas. Quemaría el 99,97% de los chips, pero estos podrían utilizarse para la tarjeta sin fraude y el otro 0,03% sería bueno para el fraude que requiere el PIN. Naturalmente, no voy a probar esa teoría con mi propia tarjeta ;-)
Los atacantes con la capacidad de robar tarjetas físicas en esa escala probablemente no estén jugando con las conjeturas de PIN de todos modos. Simplemente no es la forma más eficiente de extraer dinero de tarjetas robadas o clonadas.
En resumen, sí, existe cierto riesgo en el uso de contraseñas cortas que podrían ser adivinadas. Pero en comparación con los sitios web, adivinar es mucho más difícil para los atacantes, los bancos defienden en profundidad contra el fraude con tarjetas y también tienen costos más altos asociados con que alguien olvide un PIN que los sitios web con contraseñas. Así que eligen una compensación diferente.