Warum sind Bankpasswörter so schwach?

Question

Aus Interesse und weil es mich wütend macht, habe ich mich gefragt, ob jemand hier zufällig für eine Bank arbeitet oder sonst eine Antwort darauf weiß.

Ich habe einige Online-Banking-Websites genutzt (Großbritannien und Nordamerika), und sie verlangen durchgängig ein Passwortmuster von /[\w\d]{6,8}/ Manchmal kann man vielleicht einen Unterstrich verwenden, aber niemals kann man einen /.{6,20}/ die Sie (mehr oder weniger) auf fast jeder !banking-Website finden.

Mir wurde gesagt, dass dies mit dem Speicherplatz zu tun hat, aber die Berechnungen scheinen das nicht zu unterstützen. Wenn man davon ausgeht, dass die Banken Schattentabellen für Ihren Passwortdatensatz führen, sagen wir großzügig, durchschnittlich 10 pro Konto, dann bedeutet die Verdopplung der zulässigen Länge des Passworts und die Verdopplung der Bitbreite des Zeichensatzes auf der Grundlage eines bestehenden 8-Zeichen-8-Bit-Formats eine extra 11*2*8 = 176 Bytes pro Konto, also ~168Mb pro 1M Konten. Nehmen wir an, es handelt sich um eine riesige Bank mit 100 Mio. Konten - das sind immer noch nur 16 GB!

So einfach kann es doch nicht sein, oder? Sicherlich sind meine Zahlen falsch.

Oder ist die Antwort hier, dass die Banken, da sie Banken sind, keinen besseren Grund dafür haben, als dass sie schwerfällige Dinosaurier sind.

Kennt jemand einen technischen Grund, warum mein Passwort für www.random.com/forum stärker ist als das für meine Bank?

Answer 1

Wenn die Geschichten, die ich über bestimmte Banken gehört habe, wahr sind...

Denn jedes Mal, wenn Sie Ihr Passwort eingeben:

• Der Webserver sendet sie über ein halbes Kilometer langes serielles Kabel an einen alten 386er in einem verlassenen Büro, auf dem die Benutzeroberfläche (kompiliert mit einer speziell gehackten Version von Borland C 1.0) läuft, die 1989 von Bankmanagern verwendet wurde und die keine serielle Schnittstelle hat, so dass sie über ein anderes Gerät laufen muss, das Tastendrücke auf einer AT-Tastatur simuliert.
• Dieses Programm fügt Ihre Anfrage einschließlich Ihres Kennworts (verschlüsselt mit einem benutzerdefinierten Algorithmus, der zu schwach ist, um weiter verwendet zu werden, der aber in der Software nicht deaktiviert werden kann) in eine FoxPro-Datenbank auf einem NetWare-Dateiserver in einem anderen verlassenen Büro am anderen Ende des Gebäudes ein (nur weil die Datenbank beim Versuch, sie zu bewegen, in Stücke fallen würde).
• Zurück im ersten verlassenen Büro erkennt ein anderer alter 386er, der ständig die FoxPro-Datenbank nach neuen Datensätzen abfragt, diese Anfrage und leitet sie über ein noch langsameres serielles Kabel (diesmal in EBCDIC) an einen anderen Kasten in einem dritten Büro weiter, der eine PDP11 emuliert, auf der das eigentliche COBOL-Programm läuft, das die Konten verwaltet.
• Leider brauchen sie auch noch die real Die PDP11 kann die erhöhte Arbeitslast aller Konten, die seit 1981 (dem Jahr des ersten erfolglosen Versuchs, sie in den Ruhestand zu versetzen) eröffnet wurden, nicht bewältigen, so dass sie nun (über eine weitere Schicht von Bildschirmabtastern und emulierten Festplatten) dazu gebracht wird, eine Teilmenge von Funktionen (einschließlich der Passwortüberprüfung) im Namen des Hauptservers auszuführen.

Ihr Kennwort kann also nur die gemeinsame Untermenge der von all diesen Systemen unterstützten Zeichensätze verwenden und darf nur so lang sein wie das kürzeste betroffene Datenbankfeld.

Answer 2

Ich arbeite derzeit in einer Bank und habe in der Vergangenheit schon in einigen gearbeitet.

Der Hauptgrund dafür ist, dass im Allgemeinen die Personen, die letztlich für diese Entscheidungen verantwortlich sind, nicht diejenigen sind, die sie letztendlich umsetzen. Die "Geschäftseinheit" einer Bank sind die nicht-technischen Geschäftsexperten, die diese Entscheidungen letztendlich treffen. In vielen Fällen werden technische Einwände aus politischen oder geschäftlichen Gründen übergangen. Aber das ist nicht nur im Bankwesen so. Es kommt in jeder Branche vor, in der technische Überlegungen oft nicht im Vordergrund stehen.

Answer 3

Banken nutzen Online-Dienste in erster Linie als Schnittstelle zu Altsystemen. Ihr Kennwort wird wahrscheinlich irgendwo von einem IBM-Großrechner verarbeitet, der in Cobol geschrieben wurde, und die Kennwortstruktur stammt möglicherweise aus den 70er Jahren.

Da es sich bei Banken um politische Strukturen handelt, sieht das Management in erster Linie "konkrete" Ergebnisse, so dass Fragen wie die Sicherheit erst dann angesprochen werden, wenn sie zu einem brisanten Thema werden und es eine "Initiative" zu ihrer Lösung gibt.

Bei einer Bank, für die ich gearbeitet habe, war das Produktionspasswort dasselbe wie die Benutzerkennung (dieselbe Idee wie beim Einloggen mit "Root" "Root"). Die Benutzerkennwörter konnten online auf eine Kombination aus den ersten N Buchstaben Ihres Nachnamens und den letzten 4 Ziffern Ihrer SSN zurückgesetzt werden, so dass jeder Benutzer Ihr Kennwort zurücksetzen konnte, wenn er Ihren Namen und Ihre SSN kannte und sich als Sie anmeldete.

Answer 4

Wahrscheinlich wurden die meisten Bankensysteme vor langer Zeit entwickelt, als 8 Zeichen lange Passwörter als sicher galten. Ich glaube nicht, dass irgendjemand in Erwägung ziehen würde, Passwörter von Bankkonten zu erzwingen, denn 8 Zeichen sind immer noch eine Menge. Ich wette, alle Banken sperren ein Konto nach 3 Versuchen oder so.

Answer 5

Hier ist ein "Fehler", den ich in Bugzilla bezüglich einer Website, die ich kürzlich für einen Kunden (zum Glück keine Bank!) erstellt habe, registriert habe:

"Es scheint, dass der Benutzer gezwungen ist, ein ! oder _ in seinem Passwort* zu verwenden, was mir etwas seltsam vorkommt. Kann dies aktualisiert werden, so dass es sich um ein 6- bis 8-stelliges Passwort handelt, das nur alphanumerische Zeichen enthalten darf?"

• Eigentlich war es mindestens ein nicht alphanumerisches Zeichen