Bank me obliga a usar una contraseña alfanumérica de seis caracteres

Navega tus respuestas
6

Mi banco (es Westpac, uno de los más importantes de Australia) tiene algunas restricciones extrañas en las contraseñas. Tienen una longitud máxima de 6 caracteres y debe contener solo caracteres A-Z y dígitos 0-9, y no hay sensibilidad a las mayúsculas.

Estoy acostumbrado a usar contraseñas mucho más largas o incluso frases de contraseña para otras cuentas en línea, y parece que la fortaleza de la contraseña bancaria es relativamente débil. Por otro lado, la contraseña para mi finanzas parece ser una que debería ser mucho más importante que otras cosas, como los inicios de sesión del foro, la cuenta de eBay, etc. ...

Entonces, ¿por qué un banco importante no le permite elegir una contraseña más segura? ¿Debería preocuparme por su seguridad?

    
pregunta wim 18.10.2012 - 07:09
fuente

3 respuestas

13

Esto significa que casi definitivamente están almacenando contraseñas en texto simple en un campo de base de datos de 6 caracteres. Si solo estuvieran almacenando un hash (salado), como deberían, entonces no les importaría la longitud de la contraseña ya que la función hash produciría un valor de un tamaño fijo independientemente de la longitud de la entrada (contraseña).

Es probable que su banco todavía esté usando sistemas de los años 70 (o de antes de la estandarización de la industria con hash con sal) y no toman la seguridad de las contraseñas lo suficientemente en serio como para resolver esto. Este es el caso de muchos bancos. Debes empezar por quejarte.

    
respondido por el Josh 18.10.2012 - 16:34
fuente
4

Si ni siquiera es ilegal (ya que la contraseña de seis caracteres es el único mecanismo de autenticación), es seguro. ¡Este bajo nivel de seguridad en un banco me sorprende!

He echado un vistazo a sus páginas de seguridad donde te dicen que pagarán si tu cuenta está comprimida. De todos modos, si ese banco perdiera sus credenciales de usuario, supongo que todas las contraseñas se descifrarían en minutos. Un alfabeto de 36 letras es simplemente horrible.

Veo que tienen tokens SecurID para sus clientes de forma gratuita. Conseguiré uno inmediatamente.

    
respondido por el Henning Klevjer 18.10.2012 - 07:43
fuente
3

Como han indicado otros, es sugerente de medidas de seguridad que no están a la altura de las normas modernas. Sin embargo, una evaluación de riesgo parece indicar que el riesgo de daño financiero a clientes individuales es bajo (si no es cero). Esto se debe a que el banco ha indicado (según Henning Klevjer) que los clientes no perderán dinero en caso de un compromiso.

¿Puede el banco cumplir con tal compromiso? Casi con seguridad. En el caso de un compromiso generalizado, tendrían el poder de revertir cualquier transferencia bancaria ilegítima, y se darían cuenta si se retiraran grandes sumas de efectivo (¡y lo bueno del dinero fiduciario es que siempre puede imprimir más!: D)

Por lo tanto, aunque aún debe practicar una buena seguridad tanto como sea posible (es decir, use todos los tipos de caracteres que pueda, no reutilice las contraseñas, hágalo al azar), parece que su riesgo real de pérdida es bajo.

    
respondido por el scuzzy-delta 18.10.2012 - 21:20
fuente

Lea otras preguntas en las etiquetas

¿En qué se diferencian la sobrecarga del servidor y DoS / DDos? ¿Por qué es tan importante hacer túneles en las pruebas con lápiz?