¿Por qué algunos sitios web bancarios usan contraseñas que no distinguen entre mayúsculas y minúsculas?

20

Hace poco me informaron que cierto sitio web de un gran banco permite a los usuarios iniciar sesión con contraseñas que no distinguen entre mayúsculas y minúsculas. Después de confirmar esto, revisé otros sitios web con los que realizo transacciones bancarias y encontré un sitio web del gran banco second que hace lo mismo. No revisé sus clientes móviles.

Me parece que esto reduce la seguridad, ya que aumenta la cantidad de contraseñas únicas que se pueden usar para iniciar sesión en mi cuenta. ¿Existe una razón común y / o justificación para esto desde un punto de vista de seguridad? La principal razón no relacionada con la seguridad que podría encontrar es que reduce las llamadas al servicio de asistencia en relación con las contraseñas que distinguen entre mayúsculas y minúsculas.

    
pregunta MDMoore313 17.04.2015 - 15:16
fuente

3 respuestas

34

La razón más probable es que el backend solo admite contraseñas que no distinguen entre mayúsculas y minúsculas. Para citar OWASP :

  

Ocasionalmente, encontramos sistemas donde las contraseñas no distinguen entre mayúsculas y minúsculas,   Con frecuencia debido a problemas del sistema heredado, como los mainframes antiguos que no   tener contraseñas sensibles a las mayúsculas.

Las posibilidades de que esto ocurra son mucho más altas con instituciones antiguas como los bancos grandes que todavía están ejecutando mainframes en el centro de datos.

    
respondido por el gowenfawr 17.04.2015 - 15:30
fuente
15

Normalmente, es una elección entre usabilidad y seguridad. Los usuarios tienen una cantidad sorprendente de problemas con las mayúsculas en las contraseñas, por lo que capitalizar las contraseñas antes de incluirlas facilita la tarea para el usuario.

Por supuesto, eso también disminuye la entropía máxima de una contraseña de una longitud determinada. Para compensar, debe usar contraseñas más largas ... Si está limitado a un número tonto como "10 caracteres máximo" (en cuyo caso tiene derecho a preguntarse si realmente están manejando las contraseñas de manera segura). / p>     

respondido por el Stephane 17.04.2015 - 15:32
fuente
5

Una de las razones por las que los bancos a menudo tienen insensibilidad a los casos en sus contraseñas es debido a la banca telefónica: los bancos existían MUCHO antes de que existiera Internet, incluso antes de que los teléfonos fueran una cosa. Así que una vez que los teléfonos se generalizaron, muchos bancos importantes permitieron a las personas realizar operaciones bancarias a través del teléfono. tiene sentido: todo lo que necesita son dos números de cuenta y un código para verificar que usted es el que realiza la transacción. Para este código, usualmente fuiste al instituto bancario.

Sin embargo, dado que necesitaba ingresar su código usando el teclado numérico de su teléfono, el sistema simplemente respondió a las presiones del número, no a la contraseña real. Eso significa que ni siquiera había una distinción entre mayúsculas y minúsculas, porque no había ninguna diferencia en la forma en que los ingresaste en un teclado numérico.

Una vez que llegó la banca por Internet, esos sistemas usaron un backend similar al sistema de banca telefónica, incluido el uso de las mismas contraseñas para que los usuarios no tuvieran que recordar contraseñas adicionales. Sin embargo, esto llevó al problema de que era trivial hacer la diferencia entre una letra mayúscula y una letra minúscula, y la forma en que se ingresaban las contraseñas en el sistema durante la era de la banca telefónica era inconsistente: algunos cajeros usaban mayúsculas, otros usaban mayúsculas , algunos usarían CamelCase, ... Para evitar que las personas tengan que regresar a su banco para aclarar esto, TENÍAN que hacer que las contraseñas no distingan entre mayúsculas y minúsculas. Tenga en cuenta que esta parte podría no ser aplicable a todos los bancos, pero algunos bancos tienen esta razón.

Fuentes:

enlace : artículo de Wikipedia sobre banca telefónica;

enlace - Artículo en el sitio web del banco belga sobre banca telefónica;

enlace - Artículo sobre el principal banco británico sobre banca telefónica.

    
respondido por el Nzall 17.04.2015 - 20:14
fuente

Lea otras preguntas en las etiquetas