Я на самом деле работаю в банке прямо сейчас и работал в довольно многих в прошлом.
основная причина, что это происходит, - то, что в целом люди, которые в конечном счете ответственны за принятие этих решений, не являются людьми, которые заканчивают тем, что реализовали их. "Подразделение" банка является нетехническими бизнес-экспертами, которые заканчивают тем, что приняли эти решения. Во многих случаях технические возражения будут отвергнуты по политическим или бизнес-причинам. Но это не эксклюзивно к банковскому делу. Это происходит в любой промышленности, где технические соображения часто являются не первоочередной задачей.
Вероятно, большинство банковских систем было разработано давным-давно, когда 8 символьных паролей считали защищенными. Я не думаю, что любой рассмотрел бы грубые пароли принуждения от банковских счетов так или иначе, 8 символов это все еще много. Я держал пари, что все банки блокируют учетную запись после 3 попыток или около этого.
Если истории, которые я слышал об определенных банках, правдивы ...
Это потому, что всякий раз, когда вы вводите свой пароль:
Таким образом, ваш пароль может использовать только общее подмножество наборов символов, поддерживаемых всеми этими системами, и может иметь длину, равную самому короткому задействованному полю базы данных.
Банки используют онлайн-сервисы в первую очередь как интерфейс к устаревшим системам. Ваш пароль, вероятно, где-то обрабатывается мэйнфреймом IBM, написан на Cobol, а структура пароля могла быть разработана в 70-х годах.
Кроме того, поскольку банки являются такими политическими структурами, руководство в первую очередь видит «конкретные» результаты, поэтому такие вопросы, как безопасность, не решаются до тех пор, пока они не станут острыми, а затем появится «инициатива» по их решению.
В одном банке, в котором я работал, производственный пароль был таким же, как и идентификатор пользователя (та же идея, что и вход в систему с «root» «root»). Пароли пользователей могут быть сброшены онлайн на комбинацию первых N букв вашей фамилии + последних 4 цифр вашего SSN,
Вот «ошибка», которую я зарегистрировал в Bugzilla относительно сайта, который я недавно создал для клиента (к счастью, не для банка!):
«Кажется, что пользователь вынужден использовать! Или _ в их пароль *, который мне кажется немного странным. Можно ли обновить его так, чтобы он представлял собой пароль из 6-8 цифр, в котором можно использовать только буквенно-цифровые символы? »