¿Mi banco almacena mi contraseña en texto sin formato? [duplicar]

25

Mi banco (y todos los bancos con los que me he encontrado) solo piden caracteres individuales de mi contraseña al iniciar sesión. ¿Mi banco está almacenando mi contraseña en texto sin formato?

    
pregunta fredley 23.01.2012 - 15:16
fuente

5 respuestas

20

Estoy de acuerdo con la respuesta de StrangeWill ; parece que lo están almacenando con un cifrado reversible, que para muchos propósitos equivale a almacenarlo como texto sin formato, ya que un usuario malintencionado con control total de sus sistemas puede recuperar la contraseña de texto sin formato.

Debe asegurarse de que su contraseña para su banco no se reutilice para otros fines; aunque esto siempre es una buena práctica, especialmente para cualquier cosa donde la seguridad sea un problema y no esté administrando personalmente los sistemas.

Si no almacenan la contraseña en un formato reversible, deben tener hashes almacenados previamente para cada una de las 56 permutaciones diferentes (si su contraseña tenía 8 caracteres; hay 8 choose 3=56 maneras de elegir 3 caracteres de it) de su contraseña; y hash cada permutación con una sal larga única (por lo que las tablas de arco iris no son posibles). Sin embargo, si un atacante en sus sistemas alguna vez encontró tus hashes; podrían reconstruir fácilmente su contraseña ya que su contraseña efectiva para cada sal tiene solo tres caracteres. Tomaría aproximadamente 80 3 ~ medio millón de intentos para descifrar un hash; o alrededor de 28 millones de intentos de descifrar los 56. Ya que una GPU moderna puede generar miles de millones de hashes (estándar - md5 / sha1) por segundo; Esto es forzado en menos de un segundo. Podrían reforzar esto un poco usando hashes criptográficamente seguros (bcrypt) o estiramiento clave , aunque esto parece poco probable debido a la gran cantidad de hash que tendrán que calcular para almacenar y verificar sus contraseñas combinadas, dado que su valor inicial es débil (y agrega el riesgo de ataques DoS al módulo de autenticación).

FYI: la razón por la que su banco decidió este método es porque ayuda a prevenir los ataques de repetición. Por ejemplo, si inicia sesión en el banco en una computadora insegura donde se estaba ejecutando un keylogger, el keylogger no podrá iniciar sesión en el siguiente intento con los mismos tres caracteres que acaba de usar. Esto es un poco difícil de hacer en la práctica (por ejemplo, debe asegurarse de que los tres caracteres solicitados no cambien si el usuario no ingresa una contraseña y vuelve a intentarlo más tarde (desde una dirección IP diferente) que obtendrá bloqueado y tengo que llamar a su banco después de 10 intentos fallidos consecutivos, etc.).

    
respondido por el dr jimbob 23.01.2012 - 15:39
fuente
7

Probablemente lo están almacenando con cifrado reversible. Aunque sin una auditoría de su sistema es imposible realmente saberlo, pero esto es bastante probable debido a sus altos requisitos de seguridad.

    
respondido por el StrangeWill 23.01.2012 - 15:22
fuente
3

Algunos escenarios posibles

  • el banco está almacenando la contraseña en texto no cifrado (no es muy probable)
  • El banco está almacenando una contraseña encriptada (no hash)
  • Hash de almacenamiento bancario (salado) de cada personaje (no se sorprenda, he visto esto)

Esto obviamente no es una lista completa, así que siéntase libre de editar agregar comentarios a esto

    
respondido por el Sachin Kumar 23.01.2012 - 19:09
fuente
2

Como se indicó anteriormente, simplemente no lo sabrás a menos que te lo indiquen.

Sin embargo, vale la pena señalar que muchos bancos (especialmente los más grandes) ponen restricciones a la complejidad de las contraseñas porque la interfaz web es simplemente una interfaz para un sistema de mainframe con décadas de antigüedad que tenía las restricciones correspondientes por otras razones. Esto no significa que las contraseñas no se estén ocultando, solo significa que el sistema antiguo no puede aceptar ciertos tipos (o longitudes) de entrada por otras razones tontas.

¿Eso es mejor? No necesariamente. Pero al menos tampoco es necesariamente un reflejo de la incompetencia.

    
respondido por el tylerl 23.01.2012 - 17:03
fuente
1

Solo especulación, pero tal vez encontraron una forma de utilizar el cifrado Homomorphic en el carácter (o valor Unicode) para proporcionar protección

    
respondido por el random65537 23.01.2012 - 18:30
fuente

Lea otras preguntas en las etiquetas