Ich habe gerade eine E-Mail von meiner Kreditgenossenschaft erhalten, dass sie ihren Online-Banking-Service neu gestalten und dass ich mein Passwort bis zum 22. Oktober ändern muss, um der neuen Beschränkung auf 10 Zeichen zu entsprechen. Das aktuelle Limit beträgt 20 Zeichen.
Dies reduziert die maximale Kennwortentropie von 125 auf 54 Bit (laut KeePass) und gefährdet die Sicherheit von Kennwörtern. Noch wichtiger ist jedoch, dass ich befürchte, dass dies ein Beweis dafür ist, dass die Webarchitekten, die hinter dieser Neugestaltung stehen, keine Ahnung von Sicherheit haben.
Fragen:
- Bin ich sich über nichts aufregen? Reichen 10 Zeichen tatsächlich aus, auch wenn Sie auf Buchstaben und Zahlen beschränkt sind?
- Wenn nicht, gibt es Vorschriften, die eine maximale Passwortlänge für Online-Banking-Dienste festlegen oder empfehlen?
- Können Sie Ich empfehle eine Referenz zu Best Practices für die Website-Sicherheit. Ich kann meine Kreditgenossenschaft senden, um meinen Fall zu untermauern, dass 10 Zeichen nicht ausreichen. ol>
Update
Ich habe heute (an einem Samstag) meine Kreditgenossenschaft wegen ihrer Sicherheitspraktiken kontaktiert, und jemand hat am selben Tag tatsächlich auf die E-Mail geantwortet. Den Antworten nach zu urteilen, klingt es so, als hätten sie externe Anbieter, die mit Passwörtern, dem Sicherheitsfragen-System und dergleichen umgehen, und Passwörter werden verschlüsselt und niemals als einfacher Text gespeichert. Außerdem erlauben sie jetzt, dass Passwörter Symbole und nicht nur Buchstaben / Zahlen enthalten, so dass die maximale Stärke eines Passworts gegenüber dem, was ich dachte, geringfügig verbessert wird (obwohl dies immer noch eine Reduzierung gegenüber den ursprünglichen Anforderungen darstellt). Obwohl ich nicht ganz davon überzeugt bin, dass die Sicherheit der Website optimal ist, klingt dies nicht nach einer vollständigen Katastrophe. Vielen Dank für alle Ratschläge und Rückmeldungen.