Frage:
Meine Kreditgenossenschaft reduziert ihre maximale Passwortlänge auf 10 Zeichen
devuxer
2012-10-20 03:14:23 UTC
view on stackexchange narkive permalink

Ich habe gerade eine E-Mail von meiner Kreditgenossenschaft erhalten, dass sie ihren Online-Banking-Service neu gestalten und dass ich mein Passwort bis zum 22. Oktober ändern muss, um der neuen Beschränkung auf 10 Zeichen zu entsprechen. Das aktuelle Limit beträgt 20 Zeichen.

Dies reduziert die maximale Kennwortentropie von 125 auf 54 Bit (laut KeePass) und gefährdet die Sicherheit von Kennwörtern. Noch wichtiger ist jedoch, dass ich befürchte, dass dies ein Beweis dafür ist, dass die Webarchitekten, die hinter dieser Neugestaltung stehen, keine Ahnung von Sicherheit haben.

Fragen:

  1. Bin ich sich über nichts aufregen? Reichen 10 Zeichen tatsächlich aus, auch wenn Sie auf Buchstaben und Zahlen beschränkt sind?
  2. Wenn nicht, gibt es Vorschriften, die eine maximale Passwortlänge für Online-Banking-Dienste festlegen oder empfehlen?
  3. Können Sie Ich empfehle eine Referenz zu Best Practices für die Website-Sicherheit. Ich kann meine Kreditgenossenschaft senden, um meinen Fall zu untermauern, dass 10 Zeichen nicht ausreichen.
    4. ol>

    Update

    Ich habe heute (an einem Samstag) meine Kreditgenossenschaft wegen ihrer Sicherheitspraktiken kontaktiert, und jemand hat am selben Tag tatsächlich auf die E-Mail geantwortet. Den Antworten nach zu urteilen, klingt es so, als hätten sie externe Anbieter, die mit Passwörtern, dem Sicherheitsfragen-System und dergleichen umgehen, und Passwörter werden verschlüsselt und niemals als einfacher Text gespeichert. Außerdem erlauben sie jetzt, dass Passwörter Symbole und nicht nur Buchstaben / Zahlen enthalten, so dass die maximale Stärke eines Passworts gegenüber dem, was ich dachte, geringfügig verbessert wird (obwohl dies immer noch eine Reduzierung gegenüber den ursprünglichen Anforderungen darstellt). Obwohl ich nicht ganz davon überzeugt bin, dass die Sicherheit der Website optimal ist, klingt dies nicht nach einer vollständigen Katastrophe. Vielen Dank für alle Ratschläge und Rückmeldungen.

Was mich betrifft ist, * warum * möchten Sie eine solche Änderung vornehmen? Wenn das Passwort richtig gespeichert ist, sollten 20 oder 10 Zeichen keinen Unterschied machen. Der einzige praktische Grund, den ich für jemanden sehe, der dies tut, ist, dass er die Größe seines Passwortfelds in der Datenbank reduzieren möchte, was darauf hinweisen könnte, dass er verschlüsselt ist oder schlimmer. Selbst dann scheint dies eine dumme Sache zu sein, da die Lagerung heutzutage so billig ist. Ehrlich gesagt habe ich keine Ahnung, warum jemand dies ansprechen würde.
Welche Dienste sind gefährdet, wenn das Passwort lautet? Erlaubt es nur jemandem, Ihre letzten Transaktionen zu sehen, oder erlaubt es tatsächlich, Transaktionen nur mit dem Passwort durchzuführen? In letzterem Fall würde ich der Sicherheit auf keinen Fall vertrauen - Sie möchten nicht, dass Ihr Geld nur von einem Passwort abhängt - und zu einer anderen Kreditgenossenschaft wechseln. Wenn erstere, es sei denn, Sie sind berühmt oder wichtig, ist es wahrscheinlich nicht so wichtig.
Sie können sich auch an Ihre Kreditgenossenschaft wenden und mitteilen, dass Sie Ihr Passwort verloren haben und es zurück benötigen. Wenn sie Ihnen Ihr aktuelles Passwort zurücksenden, sollte dies einige Alarmglocken setzen.
@gerrit Sie nutzen also keine Dienste wie PayPal?
@quantumSoup Ich weiß nicht, aber ich könnte, wenn ich würde, das Geld auf meinem PayPal-Konto wäre immer viel weniger als das Geld, das ich normalerweise auf meinem Bankkonto habe.
@gerrit, Zu den Diensten gehören Überweisungen zwischen Konten und das Ausführen von Rechnungszahlungen, nicht nur das Anzeigen von Transaktionen.
@quantumSoup, Ja, es geht mich an, dass es ihnen egal ist, wie viele Zeichen mein Passwort enthält, da sie es sowieso auf eine feste Länge für die Datenbankspeicherung hashen sollten. Deshalb bezweifle ich ihre Sicherheitskompetenz.
Was passiert, wenn Sie das Passwort falsch eingegeben haben? Wenn es eine Zeitüberschreitung gibt, kann die Sicherheit immer noch gut sein (der Grund, warum 4-stellige 3-Versuche-PINs immer noch (relativ) sicher sind), aber es hilft Ihnen nicht, wenn das Datenbank wird gelesen ...
@gerrit - Was hat PayPal mit irgendetwas zu tun? Sie haben eindeutige Kennwörter verwendet. Das einzige Konto, das gefährdet werden kann, ist ein einzelnes Konto.
@Ramhound Ein kompromittiertes PayPal-Konto kann mich Geld kosten. Ich habe keine Konten, auf denen jemand mein Geld direkt stehlen könnte, indem er es kompromittiert (meine Internetbank ist nur mit meiner Bankkarte + PIN-Code zugänglich).
Sechs antworten:
Jeff
2012-10-20 14:52:35 UTC
view on stackexchange narkive permalink

WARNUNG: Ändern Sie Ihr Passwort nicht!

Dies scheint genau das zu sein, was Betrüger tun würden, um Sie dazu zu bringen, ihnen Ihr Passwort zu geben. Glauben Sie wirklich, Ihre Bank würde am Freitag eine solche Nachricht mit einem senden? Frist etwas über das Wochenende, so dass Sie keine Möglichkeit haben, sie zur Überprüfung anzurufen?

Scheint eine seltsame Zeitleiste zu sein. Gibt es eine solche Nachricht auf der aktuellen Website der CU? Ich würde sie auch anrufen, wenn Sie so etwas Verdächtiges finden. Lassen Sie uns wissen, ob es sich um einen Betrug oder einen echten handelt.
Guter Punkt, aber ich bin zuversichtlich, dass dies kein Phishing-Versuch ist. Alle Link-URLs und Telefonnummern sind korrekt, und es gibt keinen direkten Link a zu einer Seite "Passwort ändern", sondern nur einen Link zur Homepage der Kreditgenossenschaft.
@Eric G, ja, auf der Homepage der Kreditgenossenschaft befindet sich ein Banner (auf das ich durch manuelle Eingabe der URL zugegriffen habe, ohne den Link der E-Mail zu verwenden - nur für den Fall), das vor den neuen Passwortbeschränkungen warnt. Ich bin also zuversichtlich, dass es echt ist.
Ein anderer Gedanke. Ja, es ist verdächtig, dass sie eine solche Nachricht in letzter Minute versenden würden, aber ich vermute, dass sie als kleine Kreditgenossenschaft, die wahrscheinlich mit einem Drittanbieter zusammenarbeitet, erst kurz vor dem Start dieser Leute realisiert haben müssten ihre Passwortlänge * reduzieren *, um den Spezifikationen des neuen Systems zu entsprechen. Wenn ihr gesamtes System gehackt worden wäre, hätten die Kunden am Freitagnachmittag immer noch die Möglichkeit gehabt, sie anzurufen, damit die Kreditgenossenschaft über die Situation informiert wäre.
@Jeff Alle drei Kreditgenossenschaften, bei denen ich Konten hatte, machen alle möglichen Dinge wie diese.Ich muss jede Kommunikation von ihnen überprüfen, um sicherzustellen, dass sie kein Phishing sind, weil sie absolut als solche rüberkommen.Und wenn ich anrufe, muss ich 16-stellige Kartennummern und die vollständige SSN als Bestätigung angeben.Kreditgenossenschaften sind schrecklich in Bezug auf die Sicherheit.
D.W.
2012-10-20 06:35:39 UTC
view on stackexchange narkive permalink

Hier gibt es zwei verschiedene Perspektiven.

Auswirkungen auf Sie (einen erfahrenen Benutzer). Wenn Sie Ihr Passwort entsprechend auswählen, können Sie Ihr Passwort in auswählen ein Weg, der stark genug ist. Wenn Sie ein zufälliges 10-stelliges Passwort wählen, bei dem jedes Zeichen zufällig und unabhängig von a-zA-Z0-9 (62 Möglichkeiten) ausgewählt wird, hat Ihr Passwort 59 Entropiebits. In der Praxis ist dies mehr als ausreichend: Es ist mehr als ausreichend, dass das Erraten von Passwörtern wahrscheinlich nicht der einfachste Angriff auf das System ist, und mehr als genug, um sicherzustellen, dass Ihr Passwort nicht das schwächste Glied im System ist. P. >

Auswirkungen auf den durchschnittlichen Benutzer. Es ist eine andere Frage, ob diese Änderung eine gute Idee ist, da typische Benutzer normalerweise ihr Kennwort wählen. Meine Meinung: Ich halte das für eine schlechte Idee. Viele Benutzer wählen Passwörter, die auf Wörtern oder Phrasen basieren. Diese Arten von Passwörtern haben viel weniger als 5,7 Bit Entropie pro Zeichen, daher kann die Längenbeschränkung einen größeren Einfluss auf den durchschnittlichen Benutzer haben. Das Längenlimit schließt auch lange Passphrasen aus, die eine der besten Möglichkeiten sind, ein sicheres Passwort zu wählen.

Fazit. Es ist möglich Verwenden Sie das System Ihrer Kreditgenossenschaft sicher, sodass die Auswirkungen für Sie relativ gering sein können. Dies bedeutet jedoch nicht, dass ihre Änderung eine gute Idee ist. Ich denke, die Einführung eines Maximums von 10 Zeichen für die Passwortlänge ist eine schlechte Idee und eine ziemlich zweifelhafte Entscheidung von ihrer Seite. Ja, ich würde mir Sorgen machen, dass sie schlechte Entscheidungen treffen - aber die Auswirkungen für Sie sind wahrscheinlich besonders hübsch bescheiden, wenn Sie Ihr neues Passwort entsprechend auswählen.

Ehrlich gesagt würde ich mich mehr um andere Bedrohungsvektoren wie Malware auf Ihrem Computer als um das Erraten von Passwörtern kümmern. Auch die Qualität ihrer Implementierung kann einen größeren Einfluss haben als die Längenbeschränkung. Wenn sie die Anzahl der Vermutungen begrenzen, die ein Angreifer machen kann, wenn sie die gespeicherten Passwörter entsprechend hashen und salzen und wenn sie über ironische Möglichkeiten verfügen, um Lecks in der Passwortdatenbank zu verhindern, ist ein 10-stelliges Passwort wahrscheinlich nicht das schwächste Glied ihres Systems.

Das Wichtigste, worauf Sie sich konzentrieren sollten, ist Folgendes: Wer haftet, wenn in Ihrem Konto nicht autorisierte Aktivitäten vorhanden sind (z. B. wenn sich jemand in Ihr Konto hackt und eine Transaktion ausführt, die Sie nicht angefordert haben)? Verspricht Ihre Kreditgenossenschaft, Sie zu erstatten und Sie für etwaige Verluste zu entschädigen? Geben sie dies schriftlich in ihren Richtlinien an? Wenn sie dies tun, ist dies ihr Problem, nicht Ihr Problem. Wenn dies nicht der Fall ist, gehen Sie ein erhebliches Risiko ein, unabhängig von den Kennwortrichtlinien. In den USA habe ich den Eindruck, dass grundsätzlich alle Banken versprechen, Ihnen nicht autorisierte Transaktionen zu erstatten, wenn Ihr Konto ein Verbraucherkonto ist (kein Geschäftskonto). Persönlich würde ich keine Geschäfte mit einer Bank machen, die nicht versprochen hat, mich zu erstatten - ich würde die Bank wechseln, wenn meine Bank versuchen würde, mir die Haftung aufzuerlegen.

Sehr nützliche Antwort, +1. Ich glaube, ich bin geschützt, wenn es nicht autorisierte Transaktionen gibt, und ich werde auf jeden Fall ein so sicheres Passwort wie möglich verwenden (und natürlich eindeutig). Ich denke, ich werde abwarten, bevor ich davon ausgehe, dass das neue System nicht sicher ist.
Zum Vergleich: 2013 wären 2 ^ 59 anscheinend gut genug gewesen, um die NSA für etwa 2 ^ 19 Sekunden oder sechs Tage (Geben oder Nehmen) von Ihrem PGP-Schlüssel fernzuhalten.(Siehe Edward Snowdens Behauptung von 2 ^ 40 PGP-Passphrasenschätzungen pro Sekunde.) Wenn Sie kein hochwertiges Ziel sind, haben sich selbst sie möglicherweise vorher entschieden, weiterzumachen.
@MichaelKjörling, das berücksichtigt jedoch nicht den Unterschied zwischen Online-Vermutungsangriffen und Offline-Vermutungsangriffen.59 Bit Entropie sind wahrscheinlich mehr als ausreichend gegen Online-Vermutungsangriffe (obwohl ich nicht sicher bin, ob sie gegen Offline-Vermutungsangriffe ausreichen).
@D.W.Andererseits ist die S2K (KDF) -Funktion von PGP so ausgelegt, dass sie langsam ist.Ich würde sagen, wenn eine Passphrase gut genug ist, um überhaupt die Chance zu haben, einen mächtigen Gegner des Nationalstaates eine Woche lang in Schach zu halten, dann ist sie für die meisten Zwecke gut genug.
Eric G
2012-10-20 07:13:36 UTC
view on stackexchange narkive permalink

Banken sowie Kreditgenossenschaften unterliegen den Richtlinien des FFIEC. PCI leitet oder beeinflusst Banken oder Kreditgenossenschaften nicht unbedingt oder die Anforderungen für den Zugriff ihrer Mitglieder auf ihre Online-Konten ( Ihre vollständige PAN ist wahrscheinlich nicht einmal über die Internetbanking-Website Ihrer Bank zugänglich.

In Bezug auf das Risiko sind hier einige Dinge zu beachten, die im nächsten Absatz an Bedeutung gewinnen werden. Was können Sie eigentlich auf der CU-Website tun? Können Sie Geld auf ein externes Konto überweisen oder die Rechnung auf ein Konto außerhalb der CU bezahlen? Viele Finanzinstitute bieten wirklich nur eine verwässerte Online-Kontoauszugsfunktion. In diesem Fall kann Ihr Guthaben aufgedeckt werden, aber niemand wird Ihr Konto löschen, und hoffentlich wird Ihre vollständige Kontonummer trotzdem redigiert. Welche anderen Faktoren sind vorhanden, um den Zugriff zu kontrollieren - Fragen herausfordern, Site-Key (persönliche Bilder), CAPTCHA, grafische Passworteingabe, clientseitige Verschlüsselung von Anmeldeinformationen usw. Gibt es Mechanismen, die es schwierig machen, tatsächlich eine Brute Force durchzuführen? Angriff.

Ich denke, eine wichtige Frage, die hier gestellt werden muss, ist, ob die CU eine Multi-Faktor-Authentifizierung für das Online-Banking implementiert oder nicht, was immer wichtiger wird, da die Aufsichtsbehörden dies betonen. Seit 2005 drängt das FFIEC die Finanzinstitute auf die Verwendung von Multifaktoren - siehe FIL-103-2005 (das vollständige PDF unten herunterladen). Seit letztem Jahr gibt es einen Update-Push mit FIL-50-2011. Wenn Sie mehr über die IT-Sicherheitsanforderungen für Banken und Kreditgenossenschaften erfahren möchten, können Sie das FFIEC IT-Handbuch lesen. Im Allgemeinen gelten die FFIEC-Leitlinien auch für Kreditgenossenschaften - es handelt sich um eine behördenübergreifende Organisation. Wenn Sie MFA haben, ist das Risiko, dass ein kürzeres Passwort brutal erzwungen oder auf andere Weise entdeckt wird, erheblich geringer. Beachten Sie, dass dies ein echter MFA wie ein Telefonfaktor oder ein Token sein sollte. Bilder vom Typ Sit-Key sind keine echte Multi-Faktor-Authentifizierung.

Es ist auch möglich, dass sie einen Drittanbieter-Service integriert haben, der nicht mit langen Passwörtern funktioniert. Es gibt immer noch einige Anbieter, die Legacy-Angebote anbieten, die für Ihre Finanzinstitution möglicherweise eine Nische oder einen anderen Reiz darstellen.

Es ist wichtig zu beachten, dass Ihre CU ihr Kernbankensystem und Internetbanking wahrscheinlich an einen Drittanbieter auslagert, sodass diese möglicherweise nicht die Kontrolle haben, die Sie denken - die meisten Banken / CUs besitzen oder schreiben keine eigenen Systeme.
Tolle Antwort, +1. Sie haben vor einiger Zeit Herausforderungsfragen gestellt. Vielleicht hat das neue System eine Multi-Faktor-Option. In diesem Fall würde mich das 10-Zeichen-Limit nicht so stören. Wenn sie jedoch ein Legacy-System eines Drittanbieters verwenden, ist es unwahrscheinlich, dass sie über mehrere Faktoren verfügen. Ich werde wohl abwarten, was passiert. Ich werde definitiv das stärkste, eindeutige Passwort verwenden, das ich generieren kann.
Beachten Sie, dass dies insbesondere für Banken und Kreditgenossenschaften in den USA gilt. Dies ist kaum eine globale Regelung. Nicht, dass es unbedingt falsch wäre, aber in anderen Ländern gibt es andere Vorschriften, die relevant wären.
Guter Punkt, ich nahm an, dass das OP in diesem Fall amerikanisch war. Als Referenz wäre es in der EU die Europäische Bankenaufsichtsbehörde (EBA). In anderen Teilen der Welt wird die Regulierungsbehörde höchstwahrscheinlich mit der Regierung verbunden sein.
Bradley Kreider
2012-10-20 06:52:11 UTC
view on stackexchange narkive permalink

BEARBEITEN: Wie aus den Kommentaren unten hervorgeht, gilt PCI nur für Finanzinstitute, wenn diese Kreditkarten anbieten.

==

Entschuldigung, Für die PCI-DSS-Konformität ist nur eine Länge von 7 erforderlich. Ich habe den Text nicht vor mir, aber der Abschnitt ist 8.5.10.

Jemand anderes kann wahrscheinlich den entsprechenden Absatz zitieren.

Ich verstehe nicht, warum diese Antwort abgelehnt wurde. Es beantwortet eine der Fragen, die auf dem Originalplakat gestellt wurden: "Gibt es Vorschriften, die eine maximale Passwortlänge für Online-Banking-Dienste festlegen oder empfehlen?". Ich denke, es ist eine hilfreiche und nützliche Antwort, die zu unserem Verständnis beiträgt.
PCI-DSS gilt nicht für allgemeine Banken und Kreditgenossenschaften.
@ewanm89 - Sie haben Beweise dafür?
@Ramhound Siehe meinen obigen Kommentar, FFIEC FDIC, NCUA usw. regulieren Banken (sie sind auch staatliche Stellen). PCI ist ein Industriestandard, der für Kreditkarten und Debitkarten gilt. Nicht alle Finanzinstitute bieten solche Dinge an und lagern die kartenbezogenen Dienstleistungen häufig aus, sodass sie nicht für PCI haften. Sie stimmen auch weiterhin der Antwort über Betrug zu, obwohl OP feststellte, dass dies legitim ist und von der CU überprüft wurde.
Es ist auch keine wirkliche Antwort, das OP scheint nicht besorgt zu sein, dass 10 Zeichen nicht ausreichen, aber dass es auf der Seite der Bank einige lustige Entscheidungen gibt, die eine Verkleinerung der Passwortkomplexität erfordern würden. Es wirft Fragen auf, ob es an anderer Stelle in ihrem System lustige Sicherheitslösungen gibt
pivotpointsecurity
2017-08-17 00:11:40 UTC
view on stackexchange narkive permalink

Aus Sicht eines ethischen Hackers kann die Begrenzung der Kennwortlänge etwas überflüssig erscheinen. Es ist erwiesen, dass sich längere Passwörter gegenüber Passwort-Crackern besser behaupten als kurze komplexe Passwörter. Aufgrund von Speicherproblemen ist es jedoch Standard, eine minimale und maximale Kennwortlänge zu haben (das sichere Speichern vieler langer Kennwörter kann schwierig und ressourcenintensiv sein). Eine Begrenzung der Kennwortlänge kann auch dazu beitragen, Angriffe und Überschreibungen zur Längenerweiterung zu verhindern.

Wenn Sie die Kennwortlänge aus Speichergründen begrenzen müssen, gibt es ein viel größeres Problem als bei kurzen Kennwörtern, da Kennwörter vor dem Speichern nicht gehasht zu werden scheinen.
Tom
2018-06-11 17:49:13 UTC
view on stackexchange narkive permalink

Die Kennwortlänge ist viel, viel wichtiger als die sogenannte Komplexität, und 12 Zeichen sind derzeit eine gute Mindestgröße. Die maximale Größe von 10 Zeichen ist nur ein bisschen weniger albern als die Beschränkung von 8 Zeichen, die wir vor nicht allzu langer Zeit auf vielen Systemen hatten.

Die numerischen Näherungen von KeePass und anderen Tools haben jedoch nur begrenzte Auswirkungen auf die tatsächliche Sicherheit. Es gibt viele Möglichkeiten, ein Passwort zu erhalten, bei dem die Länge keine Rolle spielt oder nicht viel.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...