Mi cooperativa de crédito está reduciendo su longitud máxima de contraseña a 10 caracteres

22

Acabo de recibir un correo electrónico de mi cooperativa de crédito que dice que están rediseñando su servicio de banca en línea y que necesitaré cambiar mi contraseña antes del 22 de octubre para cumplir con el nuevo límite de 10 caracteres. El límite actual es de 20 caracteres.

Esto reduce la entropía máxima de la contraseña de 125 a 54 bits (según KeePass), comprometiendo la seguridad de las contraseñas. Sin embargo, lo que es más importante, me temo que esto es una evidencia de que los arquitectos web detrás de este rediseño no tienen ni idea de la seguridad.

Preguntas :

  1. ¿Me estoy poniendo nervioso por nada? ¿Son 10 caracteres realmente suficientes incluso si está limitado a letras y números?
  2. Si no es así, ¿hay algún reglamento que especifique o recomiende una longitud máxima de contraseña para los servicios de banca en línea?
  3. ¿Puede recomendarme una referencia sobre las mejores prácticas de seguridad del sitio web? Puedo enviar a mi cooperativa de crédito para reforzar mi caso de que 10 caracteres son inadecuados?

Actualizar

Me comuniqué con mi cooperativa de crédito hoy (un sábado) sobre sus prácticas de seguridad, y alguien respondió al correo electrónico el mismo día. A juzgar por las respuestas, parece que tienen proveedores externos que manejan las contraseñas, el sistema de preguntas de seguridad y similares, y las contraseñas están cifradas y nunca se almacenan como texto sin formato. Además, ahora están permitiendo que las contraseñas contengan símbolos en lugar de solo letras / números, por lo que mejora ligeramente la fuerza máxima de una contraseña sobre lo que pensé (aunque todavía es una reducción de los requisitos originales). Entonces, aunque no estoy completamente convencido de que la seguridad del sitio sea óptima, no suena como un completo desastre. Gracias por todos los consejos y comentarios.

    
pregunta devuxer 20.10.2012 - 00:14
fuente

6 respuestas

21

ADVERTENCIA: ¡No cambie su contraseña!

Esto parece exactamente lo que harían los estafadores para engañarlo y darle su contraseña. ¿De verdad crees que tu banco enviaría un mensaje como este el viernes con una fecha límite solo durante el fin de semana, por lo que no hay posibilidad de que los llames para verificarlos?

    
respondido por el Jeff 20.10.2012 - 11:52
fuente
15

Hay dos perspectivas diferentes aquí.

Implicaciones para usted (un usuario experto). Si elige su contraseña adecuadamente, es posible que elija su contraseña de una manera que sea lo suficientemente sólida. Si elige una contraseña aleatoria de 10 caracteres, donde cada carácter se elige de forma aleatoria e independiente de a-zA-Z0-9 (62 posibilidades), entonces su contraseña tendrá 59 bits de entropía. Eso es más que suficiente en la práctica: es más que suficiente que es poco probable que la adivinación de la contraseña sea el ataque más fácil al sistema, y más que suficiente para garantizar que su contraseña no sea el enlace más débil del sistema.

Implicaciones para el usuario promedio. Es una pregunta diferente si este cambio es una buena idea, dado que los usuarios típicos normalmente eligen su contraseña. Mi opinión: creo que es una mala idea. Muchos usuarios eligen contraseñas basadas en palabras o frases. Esos tipos de contraseñas tienen muchos menos de 5.7 bits de entropía por carácter, por lo tanto, el límite de longitud puede tener un mayor impacto en el usuario promedio. Además, el límite de longitud elimina las frases de contraseña largas, que son una de las mejores formas de elegir una contraseña segura.

Conclusión. Es posible utilizar el sistema de su cooperativa de crédito de manera segura, por lo que, para usted, el impacto puede ser relativamente menor. Sin embargo, eso no significa que su cambio sea una buena idea. Creo que introducir un máximo de 10 caracteres en la longitud de la contraseña es una mala idea y una decisión bastante dudosa por su parte, así que sí, me preocuparía que estén tomando malas decisiones, pero el impacto para usted en particular es probablemente bastante Modesto, si elige su nueva contraseña adecuadamente.

Para usted, francamente, estaría más preocupado por otros vectores de amenazas, como el malware en su máquina, que por adivinar la contraseña. Además, la calidad de su implementación puede tener una influencia mayor que el límite de longitud. Si limitan el número de conjeturas que puede hacer un atacante, si recortan y eliminan las contraseñas almacenadas de manera apropiada y si tienen formas sólidas de evitar las fugas de la base de datos de contraseñas, es probable que una contraseña de 10 caracteres no sea el enlace más débil de su sistema.

Lo más importante en lo que te recomiendo que te concentres es esto: si hay actividad no autorizada en tu cuenta (por ejemplo, alguien piratea tu cuenta y realiza una transacción que no solicitaste), ¿quién es el responsable? ¿Su unión de crédito promete reembolsarle y sanearlo por cualquier pérdida? ¿Afirman esto por escrito en sus políticas? Si lo hacen, este es su problema, no tu problema. Si no lo hacen, está asumiendo un riesgo considerable, independientemente de cuáles sean sus políticas de contraseña. En los EE. UU., Tengo la impresión de que, básicamente, todos los bancos prometen reembolsarle por cualquier transacción no autorizada, si la suya es una cuenta de consumidor (no una cuenta comercial). Personalmente, no haría negocios con un banco que no prometió reembolsarme, cambiaría de banco si mi banco intentara imponerme la responsabilidad.

    
respondido por el D.W. 20.10.2012 - 03:35
fuente
9

Los bancos, así como las cooperativas de crédito, están sujetos a la orientación del FFIEC , PCI no necesariamente guía o afecta a los bancos o al crédito sindicatos, o los requisitos para que sus miembros accedan a sus cuentas en línea (es probable que ni siquiera se pueda acceder a su PAN completo desde el sitio de banca por Internet de su banco).

Hay algunas cosas a considerar aquí en términos de riesgo, que serán más importantes en el siguiente párrafo. ¿Qué puedes hacer realmente en el sitio web de la UC? ¿Puede transferir dinero a una cuenta externa o pagar facturas a una cuenta fuera de la UC? Muchas instituciones financieras realmente solo proporcionan una funcionalidad de estado de cuenta en línea diluida. En este caso, yah puede estar expuesto su saldo, pero nadie va a borrar su cuenta, y es de esperar que de todos modos estén redactando su número de cuenta completo. ¿Qué otros factores existen para controlar el acceso? Preguntas de desafío, clave de sitio (imágenes personales), CAPTCHA, entrada de contraseña gráfica, cifrado de credenciales del lado del cliente, etc. ¿Existen mecanismos que dificulten la realización de una fuerza bruta? ataque.

Creo que una pregunta importante que se debe hacer aquí es si la UC está implementando o no la autenticación de múltiples factores para la banca en línea, lo que es cada vez más importante a medida que los reguladores lo enfatizan. Desde 2005, la FFIEC ha estado presionando a las instituciones financieras para que utilicen múltiples factores: consulte FIL-103-2005 (descargue el PDF completo en la parte inferior). Ha habido una actualización desde el año pasado con FIL-50-2011 . Si tiene curiosidad por conocer más sobre los requisitos de seguridad de TI para bancos y cooperativas de crédito, puede consultar el manual de TI de FFIEC . En general, la guía FFIEC también se aplicará a las cooperativas de crédito, es una organización interinstitucional . Si tiene AMF, existe el riesgo de que una contraseña más corta se vea forzada o se descubra de manera significativamente más baja. Tenga en cuenta que esto debería ser cierto. Los datos de tipo MFA como un factor telefónico o un token, las imágenes de tipo sit-key no son una verdadera autenticación multifactor.

También es posible que hayan integrado algún servicio de terceros que no funcione con contraseñas largas, todavía hay algunos proveedores que tienen ofertas heredadas que pueden ser muy específicas para su institución financiera.

    
respondido por el Eric G 20.10.2012 - 04:13
fuente
3

EDITAR: Como lo indican los comentarios a continuación, PCI no se aplica a las instituciones financieras a menos que ofrezcan tarjetas de crédito

==

Lo siento, el cumplimiento de PCI-DSS solo requiere una longitud de 7. No tengo el texto delante de mí, pero la sección es 8.5.10.

Alguien más puede citar el párrafo apropiado.

    
respondido por el rox0r 20.10.2012 - 03:52
fuente
0

Desde la perspectiva de un hacker ético, limitar la longitud de la contraseña puede parecer un poco redundante. Se ha comprobado que las contraseñas más largas son contrarias a los crackers de contraseñas más que a contraseñas complejas cortas. Sin embargo, es estándar tener una longitud de contraseña mínima y máxima debido a problemas de almacenamiento (almacenar muchas contraseñas largas de manera segura puede ser difícil y consumir muchos recursos). Tener un límite de longitud de contraseña también puede ayudar a prevenir los ataques y anulaciones de extensión de longitud.

    
respondido por el pivotpointsecurity 16.08.2017 - 21:11
fuente
0

La longitud de la contraseña es mucho, mucho más importante que la llamada complejidad, y 12 caracteres es un buen tamaño mínimo en este momento. El tamaño máximo de 10 caracteres es solo un poco menos tonto que el límite de 8 caracteres que no teníamos hace mucho en muchos sistemas.

Dicho esto, las aproximaciones numéricas de KeePass y otras herramientas tienen un impacto limitado en la seguridad real. Hay muchas maneras de obtener una contraseña donde la longitud no importa o no mucho.

    
respondido por el Tom 11.06.2018 - 14:49
fuente

Lea otras preguntas en las etiquetas