パスワードの強度と銀行の4ピンコード？

パスワードの強度と銀行のPINを比較するときに、リンゴとリンゴを比較しているわけではありません。

ほとんどの従来のパスワード強度理論は、ユーザー名とパスワードがユーザーと貴重な安全なデータの間にあるすべてであるという事実に基づいています。これらは2つのオブジェクトにすぎません知っているなので、パスワードの推測やブルートフォース攻撃などを防ぐために、ランダムなパターンの長いパスワードを使用することをお勧めします。

銀行カードは、2要素認証と呼ばれるものに基づいています。つまり、所有しているもの（銀行カード）と知っているもの（PIN）です。あなたが何かを持っているというこの追加の要素have（最初のシナリオでは持っていないことを思い出してください）は、持っているアイテムを細心の注意を払って処理すると、間違いなくセキュリティが大幅に向上します。それを念頭に置いて、金融機関に警告せずにランダムにカードを見つけた後、誰かがあなたのPINを推測する可能性は非常に低いので、通常は4桁のコードを持つことで回避できます。

言うまでもなく、2要素認証には欠点がないわけではありません（チップが搭載されていないカードに磁気ストリップをコピーしてPINを盗む可能性があります）。ただし、追加のセキュリティ上の利点により、パスワードを長くすることなく短くすることができます。保有者へのリスク。

もともとは、パスワードに対するブルートフォース攻撃の難しさと関係しています。

ほとんどのWebサイトは、一部の攻撃者が全員のハッシュ化されたパスワードを含むファイルを入手し、それを使用してオフラインのブルートフォース攻撃を行う可能性を懸念しています。適切に設定された攻撃者は、毎秒数百万回の推測を行うことができる可能性があります（適切なアルゴリズムを使用してパスワードがハッシュされるかどうか、および攻撃者が問題に関与できるシリコンの量によって異なります）。したがって、8文字でも十分とは言えません。

銀行は（さまざまなセキュリティモデルを使用するさまざまな理由で）気づかずにPINまたはハッシュを含むファイルを失う可能性が高いとは考えていません。または、いずれにしても、他の形式で数百万を失うことと同じくらい心配しています。銀行強盗の。もし誰かのPIN次に、家のチップとPIN=リーダーを離れて）をブルートフォース攻撃する場合は、ATMにカードを置く必要があります。または、銀行システムに接続されている他のデバイス、および数字を入力します。これは遅く、マシンは3回間違って推測した後でカードを食べます。

一部のWebサイトでは、同様のロックアウトを使用してオンラインパスワード推測攻撃を防止していますが、パスワード強度の必要性を高めている主な懸念は、パスワードハッシュの喪失です。 PIN=）の必要性（不足）を引き起こす主な懸念事項は、物理カード（または磁気ストライプテクノロジーを使用する場合はそのクローン）の使用です。

私が説明したモデルの単純なバージョンにはまだ重要な欠陥があることに注意してください。 10,000枚のクレジットカードを盗み、4桁ごとに3回当てるPINすると、3問正解することになります。当然、1台のATMは、何かがおかしいと気づいた場合、カードを100枚続けて食べるので、警官がその前に行くのではないかと思います/カードのPINを推測することは、攻撃者にとって危険です。

一般に、銀行はまた、ウェブサイトがログインを疑うよりもカード取引の疑いに細心の注意を払います。一部のWebサイトは、疑わしい場所からのログインに気付いた場合に気づき、追加のセキュリティ対策を講じて、パスワードの背後に追加のセキュリティを追加します。しかしallカード決済システムはこれを試みます。常に成功するわけではありません。

私はホームチップとPIN読者がこれに及ぼす影響を知りません。私は自分のPINが正しいことを確認しましたが、これは、チップがロックできるほどスマートであるitselfが十分に間違った推測の後にダウンするのと同じくらい簡単かもしれません。これは、依然として10,000盗まれたカードの攻撃を受ける可能性があります。あなたは99.97％のチップはありますが、カードが存在しない詐欺には引き続き使用でき、他の0.03％はPINを必要とする詐欺に適しています。当然、私は自分のカードでその理論をテストするつもりはありません;-)

その規模で物理的なカードを盗む能力を持つ攻撃者は、おそらくPINを推測することについて混乱していません。これは、盗まれたカードやクローンされたカードからお金を引き出すための最も効率的な方法ではありません。

要するに、はい、短いパスワードを使用すると、推測される可能性があるリスクがいくつかあります。しかし、ウェブサイトと比較して推測はmuch攻撃者にとって困難であり、銀行はカード詐欺に対して徹底的に防御し、また、誰かがPINウェブサイトよりも忘れることに関連するコストが高くなります。パスワードを使用するため、別のトレードオフを選択します。

1. これは認証の一部にすぎず、カードの物理的な存在も証明の一部です。
2. 一連の試行が失敗した後にロックアウトされるため、4桁のみPINと推測される可能性の合計は、PINが通常0.03％です。 5桁または6桁のPINの場合は0.003％および0.0003％、4桁、5桁、または6桁のオプションがある場合は0.00025％未満（実際には、攻撃者は人気のある番号を選択することで確率を上げることができますが、それでも、ブルートフォースによる成功を保証するために必要な1000〜1210000回の試行は行われません。

これの一部は、偽のログインによるDOSはリスクではないという事実から来ていることは注目に値します。たとえば、このWebサイトが一定の試行回数の後に同様の合計（おそらく1つのIPのみをブロックするのではなく）ロックアウトした場合、さまざまなユーザーのパスワードを推測しようとする試み（標的であろうと単にロックアウトされるまで、 公開リスト ）からすべてのユーザーをヒットします。これは実際には、パスワードの推測に成功するよりも問題になる可能性があります。このような攻撃はサイトを役に立たなくする可能性がありますが、パスワードの解読に成功すると、より限定的な破壊行為が可能になり、さもなければ（努力が必要）、そうでなければすぐにモデレートによってブロックされます。

ATMまたはチップアンドピンカードでは、保護対象の違いによりロックアウトがより便利になりますが、カード自体（またはそのクローン）が必要なことは、誰かが悪意を持って私たちをロックアウトできるのは、カードを持っている場合、私たちはセキュリティの一部を失い、ロックされたい。

数字、記号、大文字と小文字の混合を含むパスワードの要件は、攻撃者がハッシュされたパスワードのコピーを持っているという考えに基づいています。攻撃者はハッシュ化されたパスワードのコピーを持っているので、無数の辞書エントリの調査と、すべてのWordに小さな整数の接頭辞と接尾辞を追加して、Oを0に置き換え、など。攻撃者はこのクラッキングソフトウェアを制御します。このソフトウェアは、5回失敗してもロックアウトしません。

PINSは、PINを保持するストレージが何らかの意味で安全であるという考えに基づいています。それ自体は、単なる4桁のピンを正当化するものではありません。別の要因は、カードを所有していることです。 PINを使用します。ユーザーIDとPINだけがあり、カードがない場合は、銀行のマシンから現金を取得できません。カードはあるがPINがない場合は、推測するだけで済みます。何度か再試行に失敗した場合はロックアウトされますカードを必要としないオンラインバンキング（カード番号のみ）では、ログにPIN=インチ

再び最初の点に関して、実際には、攻撃者がハッシュされたパスワードのコピーを持っているという合理的な仮定はありません。または、むしろ、その想定はエンドユーザーである私には受け入れられません。サイトからわかりにくいパスワードを選択させると、実際には次のように伝えられます。"パスワードハッシュなど、個人情報を攻撃者から保護するための努力はしていません。" 。これの問題は、複数のサービスプロバイダーに同じパスワードを再利用しない限り（セキュリティが不十分）、パスワードはおそらく最も重要でない個人情報です。理想的には、実際には個人情報はまったく含まれていません。攻撃者が私のハッシュ化されたパスワードにアクセスできる場合、それは攻撃者が私のユーザーレコード全体にアクセスできることを意味します。これは問題であり、パスワードではありません。

皮肉なことに、このタイプのポリシーを持つ多くのシステムはパスワードの長さを厳しく制限し、スペースなどの一部の文字を拒否するため、ユーザーは覚えやすく入力しやすい長いパスワードフレーズを使用できるという合理的な代替手段を拒否されます。これは、このパスワードチェックを実装している人々が問題を本当に理解しておらず、他の誰もがしていることをすべてコピーすることによって責任を問われないことにもっと関心があることを示しています。

ECカード（ドイツでよく使用されます）には、ViSAおよびMasterCardに通常必要な4桁と比較して、6桁が必要です。もちろん、少し安全です。PINコードを見つけるチャンスを100で割ると、偶然に3つの間違った試行がカードをブロックすることを意味します。