Política de contraseña incorrecta en mi banco

Sí, es una política de contraseña incorrecta, pero se mitiga con:

• autenticación del segundo factor
• características de bloqueo de cuenta fuertes
• tu conocimiento de que es una mala política

No lo compare con las políticas destinadas a resistir el craqueo sin conexión: si tiene miedo de descifrar las contraseñas sin conexión en su banco, también puede temer que se rastree directamente la contraseña.

Es posible que su banco esté usando un producto como la autenticación adaptativa de RSA. Utiliza múltiples atributos para evaluar el comportamiento (por ejemplo, la dirección IP, la hora de inicio de sesión, la huella digital del dispositivo, etc.) para garantizar que el inicio de sesión sea correcto. Incluso puede estar vinculado a un ser humano real que realiza análisis de anomolías, o incluso a un tercero como Equifax.

Mi banco me permite tener una contraseña pequeña y no estoy contento con eso, pero también sé que al menos tienen el software RSA en el fondo y que agregan cheques adicionales.

Esta es una política de contraseña incorrecta según la mayoría de los estándares, pero aquí está el problema más antiguo (o excusa) en el libro (al menos para los bancos canadienses):

Seguridad vs Conveniencia

Los bancos no ven la pérdida como una conveniencia para el usuario. El hecho es que no están perdiendo el dinero suficiente debido a la piratería (al menos todavía) para considerar obstaculizar la experiencia del usuario.

enlace

La autenticación de 2 factores puede mitigar esto un poco, pero no mucho.

* @ Joseph tiene razón, deberías quejarte, ya que mientras más personas se quejan y exponen esto, más pueden hacer algo al respecto. Lo que no entiendo es por qué no lo ofrecen sin forzar a nadie, así que al menos está ahí si lo desea. Quiero decir, ni siquiera Cap sensible ... común.

Bueno, la mayoría de las personas que publican aquí están preocupadas por la seguridad y en su mayoría usan contraseñas seguras por esta razón.

Pero el banco tiene otra preocupación: los usuarios que usan "123456" como contraseña y se sienten seguros.

Por ejemplo, mi propio banco me obligó a usar una contraseña de personaje. ¿Por qué? Porque quieren animar a los usuarios a elegir contraseñas seguras con alta entropía, ya que son una opción con contraseñas tan cortas. Porque casi todos pueden recordar una secuencia aleatoria de 5 caracteres. (Por cierto, el uso de su tarjeta bancaria aún es obligatorio para realizar transacciones, por lo que 2FA está ahí)

Supongo que su banco ha descubierto la misma idea. Quieren animar a los usuarios a elegir contraseñas seguras y, por lo tanto, esta nueva política. Esto es malo para los usuarios con buenas contraseñas, pero yo diría (no obtuve estadísticas reales :() que solo un pequeño porcentaje de los usuarios usan contraseñas complejas e inatacables de forma predeterminada.

Ahora, para juzgar la política: creo que, para la mayoría de los usuarios, esto es bueno ya que se les alienta a usar una contraseña más segura y solo una minoría tiene que sufrir (irónicamente, las personas que se preocupan por la seguridad). Por lo demás, puede proponer al banco que ofrezca alguna forma (oculta) de obtener una contraseña más segura, tal vez obligando a los usuarios a ponerse en contacto con el soporte para permitir una política diferente.