¿Debo confiar en mi banco después de esto [cerrado]

Question

¿Debo confiar en mi banco después de esto [cerrado]

#1 de Rory Alsop (3 votos)
#2 de Adi (3 votos)
#3 de GdD (1 votos)

1

Acabo de descubrir que puedo iniciar sesión en mi banco con contraseñas que no son mías.

Ejemplo:

Mi contraseña es "1234" pero estoy autorizado con todos los caracteres de publicación posibles. Por ejemplo, "12345" o "12341234" me autorizará.

También tenga en cuenta que el banco me asignó mi contraseña (cuatro dígitos) y que el inicio de sesión es un formulario html normal (contraseña de tipo de entrada de usuario / contraseña de tipo de entrada de contraseña)

¿Por qué cualquier banco diseñaría un protocolo de autenticación de este tipo y es esto algo de lo que debería preocuparme?

passwords authentication password-policy trust

pregunta user35356 09.12.2013 - 13:04

fuente

3 respuestas

Lea otras preguntas en las etiquetas passwords authentication password-policy trust

¿Cifrar / bloquear encriptación usando la función XOR y Hash? usando la firma oAuth2 auth dance vs oAuth1

score 3 · Answer 1

La meta pregunta sobre si confía en su banco no se puede responder aquí :-)

Sin embargo, la pregunta principal es respondible:

¿Es una buena práctica aceptar caracteres adicionales después de que mi contraseña coincida?

Si tienen un código de acceso fijo de 4 dígitos, simplemente se truncarán en 4 y eliminarán el resto, lo que significa que no afectará su seguridad en absoluto.

Para saber si están truncando, deberías preguntar al banco.

score 3 · Answer 2

Mi banco está haciendo lo mismo, excepto que tiene 6 números en lugar de 4. Solo permiten 6 números como la contraseña de la banca en línea.

¿Deberías confiar en mi banco después de saber que truncan la contraseña ingresada? Bueno, creo que el problema más grande aquí es limitar la contraseña a 4 caracteres.

El problema con la confianza es que es algo que usted tiene que juzgar. ¿Cree que una contraseña de 4 caracteres es suficiente para proteger su información financiera y / o las acciones que se pueden realizar a través de la interfaz en línea? (Yo no). Por otro lado, mi banco implementa un inicio de sesión de autenticación de dos factores y un mecanismo agresivo de aceleración de inicio de sesión que, en mi opinión, compensa ligeramente la debilidad de la contraseña.

Dado que su pregunta está basada en la opinión, pero con un buen mérito, resumiré mi respuesta afirmando mi opinión: No confiaría en un banco con un sistema de autenticación como el de su banco.

score 1 · Answer 3

Las contraseñas de longitud fija y no modificables son muy débiles y, por lo tanto, son una mala idea para un sitio bancario. Esta es la razón por la que los reguladores bancarios de todo el mundo exigen el uso de contraseñas seguras para la banca en línea, generalmente con un mínimo de 8 caracteres con al menos una mayúscula y un carácter numérico (esto es lo que parecen los auditores En busca de, los reguladores no suelen especificar lo que significa "fuerte"). De hecho, la mayoría de los reguladores están presionando por algún tipo de autenticación de 2 factores, ya sea utilizando un token o algún tipo de "información recordada".

En áreas donde la regulación bancaria no es sólida, muchos bancos aún tienen una seguridad de contraseña pobre, y su banco parece ser uno de esos. Para responder a sus preguntas específicas:

¿Por qué un banco diseñaría un protocolo de autenticación de este tipo: porque es muy fácil de configurar y no se les exige que lo hagan mejor? Implementar un sistema mejor les costará dinero, lo que no están dispuestos a gastar
Es algo de lo que debería preocuparme: Sí, muestra que su banco no tiene la habilidad o no tiene la motivación para hacerlo mejor. Tampoco me inspiraría confianza, y buscaría un lugar mejor para poner mi dinero si fuera yo.