¿Por qué algunos asesores de seguridad recomiendan el uso de una contraseña de 8 caracteres con dígitos y símbolos superiores e inferiores, mientras que los bancos solo usan un pin de 4 dígitos para débito y un pin de 3 dígitos para tarjeta de crédito?
¿No es un riesgo para la seguridad usar una contraseña corta no aleatoria como esa?
No está comparando manzanas con manzanas en su comparación de la fortaleza de la contraseña con el PIN de su banco.
La mayoría de las teologías de seguridad de contraseñas tradicionales se basan en el hecho de que su nombre de usuario y contraseña es todo lo que se interpone entre usted y sus valiosos datos seguros. Estos son simplemente dos objetos que usted conoce y, por lo tanto, le conviene tener una contraseña más larga con patrones aparentemente aleatorios para evitar la adivinación de contraseñas y ataques de fuerza bruta, etc.
Su tarjeta bancaria se basa en lo que se conoce como autenticación de dos factores: algo que tiene (su tarjeta bancaria) y algo que sabe (su PIN). Este elemento adicional de tener algo que usted tiene (que, como recuerda, no tiene en el primer escenario) podría decirse que incrementa drásticamente la seguridad cuando el elemento que tiene se maneja con gran cuidado. Teniendo esto en cuenta, generalmente puede salirse con la suya con un código de 4 dígitos porque la probabilidad de que alguien adivine su PIN después de encontrar su tarjeta al azar sin alertar a su institución financiera es bastante baja.
No hace falta decir que la autenticación de dos factores no está exenta de defectos (alguien podría copiar su banda magnética en una tarjeta sin chip y robar su PIN), sin embargo, sus beneficios de seguridad adicionales le permiten tener una contraseña más corta Longitudes sin aumentar el riesgo para el titular.
Originalmente tiene que ver con la dificultad de un ataque de fuerza bruta en la contraseña.
La mayoría de los sitios web están preocupados por la posibilidad de que algún atacante pueda apoderarse de un archivo que contenga las contraseñas con hash de todos, y realizar un ataque de fuerza bruta sin conexión con eso. Un atacante correctamente configurado podría hacer millones de suposiciones por segundo (tasa exacta dependiendo de si las contraseñas se han activado mediante el uso de un algoritmo adecuado y la cantidad de silicio que el atacante puede aplicar al problema). Así que incluso 8 caracteres no son suficientes.
Los bancos (por varias razones para hacer con sus diferentes modelos de seguridad) no creen que puedan perder archivos que contienen PIN o sus hashes sin darse cuenta, o de todos modos no están más preocupados que con la pérdida de millones Cualquier otra forma de robo a un banco. Si desea realizar un ataque de fuerza bruta en el PIN de alguien (dejando a un lado los lectores de Chip y PIN de su hogar), debe colocar su tarjeta en un cajero automático u otro dispositivo conectado al sistema bancario y escribir un número. Es lento, y la máquina se come la tarjeta después de 3 intentos erróneos.
Algunos sitios web utilizan un bloqueo similar para evitar ataques de adivinación de contraseñas en línea, pero la principal preocupación que impulsa la necesidad de seguridad de la contraseña es la pérdida de los hashes de contraseñas. La principal preocupación que impulsa la (falta de) necesidad de contar con PIN es el uso de la tarjeta física (o un clon de la misma, cuando se utiliza la tecnología de banda magnética).
Tenga en cuenta que todavía hay un defecto no trivial en la versión simple del modelo que he descrito. Si roba 10,000 tarjetas de crédito y realiza 3 conjeturas en cada PIN de 4 dígitos, esperará obtener 3 correctas. Naturalmente, sin embargo, un solo cajero automático notará que algo anda mal si tiene que comer 100 tarjetas seguidas, por lo que sospecho / espero que la policía esté en camino antes de esa fecha. Los PIN de las tarjetas de adivinación son riesgosos para el atacante.
En general, los bancos también prestan más atención a las transacciones de tarjetas sospechosas que los sitios web a los inicios de sesión sospechosos. Algunos sitios web intentarán notar y tomar medidas de seguridad adicionales si notan un inicio de sesión desde una ubicación sospechosa, agregando seguridad adicional detrás de la contraseña. Pero todos los sistemas de pago con tarjeta intentan hacer esto. No es que siempre tengan éxito.
No sé qué efecto tienen los lectores de chips y PIN en el hogar. Acabo de usar el mío para confirmar que mi PIN es correcto, sin ninguna comunicación con el banco. Puede ser tan simple como que el Chip sea lo suficientemente inteligente como para bloquear a sí mismo después de suficientes conjeturas incorrectas. Esto aún estaría sujeto al ataque de 10,000 cartas robadas. Quemaría el 99,97% de los chips, pero estos podrían utilizarse para la tarjeta sin fraude y el otro 0,03% sería bueno para el fraude que requiere el PIN. Naturalmente, no voy a probar esa teoría con mi propia tarjeta ;-)
Los atacantes con la capacidad de robar tarjetas físicas en esa escala probablemente no estén jugando con las conjeturas de PIN de todos modos. Simplemente no es la forma más eficiente de extraer dinero de tarjetas robadas o clonadas.
En resumen, sí, existe cierto riesgo en el uso de contraseñas cortas que podrían ser adivinadas. Pero en comparación con los sitios web, adivinar es mucho más difícil para los atacantes, los bancos defienden en profundidad contra el fraude con tarjetas y también tienen costos más altos asociados con que alguien olvide un PIN que los sitios web con contraseñas. Así que eligen una compensación diferente.
Vale la pena señalar que parte de esto se debe al hecho de que DOS por el inicio de sesión falso no es un riesgo. Si, por ejemplo, este sitio web tuviera un bloqueo total similar (en lugar de tal vez bloquear solo una IP) después de un número determinado de intentos, entonces uno podría ser una molestia al intentar adivinar la contraseña para diferentes usuarios (ya sea como objetivo o simplemente golpeando a todos los usuarios de la lista publicada ), hasta que queden bloqueados. De hecho, esto podría ser más un problema que adivinar con éxito una contraseña; un ataque de este tipo podría inutilizar el sitio, mientras que el hecho de romper una contraseña permitiría un vandalismo más limitado que tendría que ser sutil (lo que requiere un esfuerzo) o, de lo contrario, sería bloqueado por la moderación.
Con un cajero automático o una tarjeta con chip y PIN, la diferencia en lo que está protegido hace que el bloqueo sea más útil, mientras que la necesidad de tener la propia tarjeta (o un clon de ella) significa que alguien solo puede bloquearnos maliciosamente si tienen la tarjeta, en cuyo caso hemos perdido parte de nuestra seguridad y queremos estar bloqueados.
Los requisitos para las contraseñas que contienen dígitos, símbolos y mezclas de letras mayúsculas y minúsculas se basan en la idea de que el atacante tiene una copia de la contraseña con hash. Dado que el atacante tiene una copia de la contraseña con hash, el atacante puede ejecutar millones y millones de suposiciones en su contra, según el sondeo de innumerables entradas del diccionario, más variaciones, como agregar prefijos y sufijos de enteros pequeños a cada palabra, sustituyendo 0 por O y pronto. El atacante controla este software de craqueo, que no lo bloqueará después de cinco intentos fallidos.
Los PINS se basan en la idea de que el almacenamiento que contiene el PIN es seguro en cierto sentido. Eso en sí mismo no justifica un simple pin de cuatro dígitos: otro factor es que posee la tarjeta que acompaña al PIN. No puede obtener efectivo de una máquina bancaria si todo lo que tiene es una identificación de usuario y un PIN, pero no una tarjeta. Si tiene la tarjeta, pero no el PIN, de modo que queda reducido a adivinar, quedará bloqueado después de varios intentos fallidos. Tenga en cuenta que la banca en línea, que no requiere su tarjeta (solo su número de tarjeta) no utiliza su PIN para iniciar sesión.
Con respecto al primer punto nuevamente, de hecho no es una suposición razonable de que el atacante tenga una copia de la contraseña con hash. O, más bien, esa suposición no es aceptable para mí, el usuario final. Cuando un sitio nos hace elegir una contraseña complicada, de hecho nos dicen: "no estamos haciendo ningún esfuerzo para proteger su información personal de los atacantes, como el hash de su contraseña" . El problema con esto es que, a menos que esté reutilizando la misma contraseña para múltiples proveedores de servicios (mala práctica de seguridad), la contraseña es probablemente la información personal menos importante. Lo ideal es que no contenga información personal, de hecho. Si un atacante tiene acceso a mi contraseña con hash, significa que tiene acceso a todo mi registro de usuario, y ese es el problema, no la contraseña.
Irónicamente, muchos sistemas con este tipo de política restringen severamente la longitud de la contraseña y rechazan algunos caracteres como los espacios, por lo que a los usuarios se les niega la alternativa razonable de poder usar una frase de contraseña larga, que es más fácil de recordar y recordar. tipo. Esto muestra que las personas que están implementando esta verificación de contraseña no entienden realmente los problemas, y están más preocupados de que se les considere irreprochables copiando lo que hacen los demás.
Las tarjetas EC (muy utilizadas en Alemania) requieren 6 dígitos, en comparación con las 4 que generalmente se requieren para ViSA y MasterCard. Entonces, por supuesto, es un poco más seguro, dividiendo por 100 la posibilidad de encontrar su código PIN por pura casualidad, 3 intentos incorrectos significan bloquear la tarjeta, por supuesto.
Lea otras preguntas en las etiquetas passwords authentication banks