¿Cuándo (si alguna) la aplicación web debe forzar los inicios de sesión numéricos, generados (por lo tanto, difíciles de recordar)?

En mi opinión, nunca.

Como dijiste, una política de contraseña adecuada ya tiene el propósito de reducir la probabilidad de que un ataque de fuerza bruta tenga éxito.

Forzar números generados aleatoriamente en un usuario es una forma segura de darse un dolor de cabeza, ya que la cantidad de solicitudes de "Olvidé mi contraseña" será abrumadora.

El peor de los casos: obliga al usuario a escribir el número en un lugar fácil de encontrar.

No estoy de acuerdo con la premisa de tu pregunta. Creo que el esquema de su banco es probablemente más seguro que permitir que los usuarios elijan sus propias contraseñas.

Una cosa que sabemos con gran confianza es que muchos usuarios eligen contraseñas malas . Por ejemplo, un estudio reciente encontró que si el atacante tiene una tasa -limitado a 10 conjeturas en la contraseña por cuenta, entonces el atacante puede esperar romper aproximadamente el 1% de las cuentas. Estos números parecen ser bastante sólidos en una amplia gama de diferentes tipos de sistemas protegidos por contraseña. Por lo tanto, cualquier sistema que permita a los usuarios seleccionar sus propias contraseñas tendrá poca seguridad para una fracción significativa de la población de usuarios.

En contraste, su banco genera la contraseña para usted. Esto evita los problemas de las contraseñas generadas por el usuario. Una contraseña aleatoria de 8 dígitos tiene aproximadamente 26.6 bits de entropía. Eso no es tan lamentable. Por ejemplo, si el atacante tiene una tasa limitada de 10 conjeturas de contraseña por cuenta, entonces con el esquema de su banco, el atacante puede esperar romper aproximadamente el 0.00001% de las cuentas. Esa es una mejora significativa con respecto a las contraseñas generadas por los usuarios.

En contraste, las políticas de complejidad de contraseñas son frágiles. Ayudan a los usuarios a evitar algunas contraseñas malas, pero a menudo se aceptan muchas otras contraseñas malas. Fundamentalmente, debido a que el verificador de políticas de contraseñas no tiene visibilidad de cómo eligió su contraseña y porque cómo es la parte importante para calcular la entropía, su utilidad es limitada. Para muchos sitios, estas limitaciones son aceptables, pero puedo entender por qué un sitio bancario puede querer hacerlo mejor.

Una posible preocupación con el esquema de su banco es que, si no implementan ningún tipo de limitación de velocidad en el cálculo de contraseñas, el atacante que intente todas las posibles contraseñas de 8 dígitos podrá adivinar su contraseña. Si el atacante puede automatizar este proceso e intentar 10 contraseñas / segundo, entonces debería tomar aproximadamente 115 días agotar el espacio. Sin embargo, es fácil defenderse contra este tipo de ataque: el banco puede simplemente contar la cantidad de intentos fallidos de adivinar la contraseña y las estimaciones de límite de velocidad o imponer alguna otra defensa contra la adivinación automática de contraseñas.

Conclusión: el enfoque de su banco es en realidad más razonable de lo que parece. En general, es probablemente más seguro que permitir que los usuarios elijan sus propias contraseñas, especialmente si el banco aplica buenos mecanismos para limitar los ataques de adivinación de contraseña.

En un escenario de bancos, la política de seguridad habitual bloquea una cuenta de usuario cuando se ingresan contraseñas incorrectas varias veces. Cuando el Id. De inicio de sesión es aleatorio, la posibilidad de que un atacante elija aleatoriamente un Id. De inicio de sesión e intente descifrar o bloquear el acceso a una cuenta se reduce en una cantidad considerable. Se requiere una compensación entre la seguridad y los requisitos empresariales, lo que siempre es un desafío en el mundo digital.

Dudo que el banco considere esto como un problema de seguridad. Más bien se trata de una implementación detallada.

Habiendo trabajado para unos pocos bancos, puedo decir que la cantidad de sistemas heredados que necesitan para soportar y los problemas de interoperabilidad con los que tienen que lidiar es realmente sorprendente. Ya es bastante malo que un banco haya existido durante 60 años y aún esté soportando sistemas que se ejecutan originalmente en mainframes de IBM, pero en estos días la mayoría de los bancos han pasado por varias fusiones y han tenido el desafío adicional de combinar los ecosistemas completos de varios bancos. El número de casos especiales es asombroso.

Lo más probable es que el banco decidió que era simplemente demasiado difícil más trabajo del que querían para crear un mecanismo sólido para que un usuario cree su propio nombre de usuario único que funcionaría en todos los bancos. sistemas No lo considerarían un riesgo de seguridad si anotara su nombre de usuario siempre y cuando mantuviera su contraseña en secreto. Si bien podría ser bueno para los clientes elegir su propio nombre de usuario, también podría requerir la creación de otro sistema para administrar los nombres de usuario y crear otro sistema de registro con costos administrativos asociados, ya que este nuevo sistema también debería estar disponible al 100% con recuperación de desastres y planificación de la continuación del negocio.