Почему банковские пароли так слабы?

Вероятно, большинство банковских систем было разработано давным-давно, когда 8 символьных паролей считали защищенными. Я не думаю, что любой рассмотрел бы грубые пароли принуждения от банковских счетов так или иначе, 8 символов это все еще много. Я держал пари, что все банки блокируют учетную запись после 3 попыток или около этого.

Если истории, которые я слышал об определенных банках, правдивы ...

Это потому, что всякий раз, когда вы вводите свой пароль:

• Веб-сервер отправляет его на полкилометра- длинный последовательный кабель к старому 386 в заброшенном офисе, работающем с пользовательским интерфейсом (скомпилированным с использованием специально взломанной версии Borland C 1.0), который использовался менеджерами банка в 1989 году, у которого нет последовательного интерфейса, поэтому он должен идти через другое устройство, которое имитирует нажатие клавиш на клавиатуре AT.
• Эта программа вставляет ваш запрос, включая ваш пароль (зашифрованный с использованием специального алгоритма, который слишком слаб для дальнейшего использования, но который не может быть отключен в программном обеспечении) в базу данных FoxPro на Файловый сервер NetWare в другом заброшенном офисе в противоположном конце здания (просто потому, что он развалится, если они попытаются его переместить.)
• Вернувшись в 1-й заброшенный офис, другой старый 386, постоянно опрашивающий базу данных FoxPro на предмет новых записей, обнаруживает этот запрос и пересылает его по еще более медленному последовательному кабелю (на этот раз в EBCDIC) в другой ящик в 3-м офисе, который находится имитация PDP11, на которой запущена настоящая программа COBOL, которая поддерживает учетные записи.
• К сожалению, им все еще нужен реальный PDP11, потому что в нем был собственный микрокод для другого алгоритма безопасного шифрования (который они не могут извлечь или устройство защиты от несанкционированного доступа сотрет его.) PDP11 может 't справляется с возросшей нагрузкой на все учетные записи, открытые с 1981 года (год их первой неудачной попытки закрыть его), поэтому теперь (с помощью другого уровня скребков экрана и эмулированных жестких дисков) его обманом заставляют выполнять подмножество функций (включая проверку пароля ) от имени главного сервера.

Таким образом, ваш пароль может использовать только общее подмножество наборов символов, поддерживаемых всеми этими системами, и может иметь длину, равную самому короткому задействованному полю базы данных.

Банки используют онлайн-сервисы в первую очередь как интерфейс к устаревшим системам. Ваш пароль, вероятно, где-то обрабатывается мэйнфреймом IBM, написан на Cobol, а структура пароля могла быть разработана в 70-х годах.

Кроме того, поскольку банки являются такими политическими структурами, руководство в первую очередь видит «конкретные» результаты, поэтому такие вопросы, как безопасность, не решаются до тех пор, пока они не станут острыми, а затем появится «инициатива» по их решению.

В одном банке, в котором я работал, производственный пароль был таким же, как и идентификатор пользователя (та же идея, что и вход в систему с «root» «root»). Пароли пользователей могут быть сброшены онлайн на комбинацию первых N букв вашей фамилии + последних 4 цифр вашего SSN,

Вот «ошибка», которую я зарегистрировал в Bugzilla относительно сайта, который я недавно создал для клиента (к счастью, не для банка!):

«Кажется, что пользователь вынужден использовать! Или _ в их пароль *, который мне кажется немного странным. Можно ли обновить его так, чтобы он представлял собой пароль из 6-8 цифр, в котором можно использовать только буквенно-цифровые символы? »

• На самом деле, это был по крайней мере один не буквенно-цифровой символ