Acabo de recibir un correo electrónico de mi cooperativa de crédito que dice que están rediseñando su servicio de banca en línea y que necesitaré cambiar mi contraseña antes del 22 de octubre para cumplir con el nuevo límite de 10 caracteres. El límite actual es de 20 caracteres.
Esto reduce la entropía máxima de la contraseña de 125 a 54 bits (según KeePass), comprometiendo la seguridad de las contraseñas. Sin embargo, lo que es más importante, me temo que esto es una evidencia de que los arquitectos web detrás de este rediseño no tienen ni idea de la seguridad.
Preguntas :
- ¿Me estoy poniendo nervioso por nada? ¿Son 10 caracteres realmente suficientes incluso si está limitado a letras y números?
- Si no es así, ¿hay algún reglamento que especifique o recomiende una longitud máxima de contraseña para los servicios de banca en línea?
- ¿Puede recomendarme una referencia sobre las mejores prácticas de seguridad del sitio web? Puedo enviar a mi cooperativa de crédito para reforzar mi caso de que 10 caracteres son inadecuados?
Actualizar
Me comuniqué con mi cooperativa de crédito hoy (un sábado) sobre sus prácticas de seguridad, y alguien respondió al correo electrónico el mismo día. A juzgar por las respuestas, parece que tienen proveedores externos que manejan las contraseñas, el sistema de preguntas de seguridad y similares, y las contraseñas están cifradas y nunca se almacenan como texto sin formato. Además, ahora están permitiendo que las contraseñas contengan símbolos en lugar de solo letras / números, por lo que mejora ligeramente la fuerza máxima de una contraseña sobre lo que pensé (aunque todavía es una reducción de los requisitos originales). Entonces, aunque no estoy completamente convencido de que la seguridad del sitio sea óptima, no suena como un completo desastre. Gracias por todos los consejos y comentarios.