私の証券会社/銀行は不十分なパスワードセキュリティ対策を使用していますか？

「ソルティング」は パスワードハッシュ の一部としてのみ意味があります。受け取った応答（「パスワード[...]は安全な暗号化されたチャネル上にあります」）から、次のように推測できます。

• パスワードはまったくハッシュされません。銀行はいつでもパスワードを回復することができます。
• ストレージ自体（キーが指定されていない）または銀行システム内のあるマシンから別のマシンへの転送（おそらくSSL）のいずれかに、ある種の暗号化が適用されます。または多分両方。
• あなたに答えた人は誰でも、あなたがテクノロジーを理解できるとは思わないか、テクノロジーを自分で理解していないか、あるいはその両方です。

パスワードの長さの制限については、エントロピーが高く、覚えやすいパスワードを使用できないため、実際には問題であり、非常に不適切な方法です（ この質問 を参照）。それには技術的な理由があるかもしれません（レガシーシステムとの互換性-そして銀行にはレガシーシステムのlotがあります）が、制限が来ることも同様にもっともらしいですよく理解されていない伝統から（ この質問 を参照）。

それでは、銀行の視点を見てみましょう。パスワードの用途は何ですか？あなたの資産を保護するためですか？番号 ！パスワードはbankを保護するためにあります。あなたではありません。あなたのパスワードはあなたのためではありません。それは彼らのためです。

銀行は全体として、お金を稼ぎたいと思っています。攻撃が成功すると、次の理由でお金を失うことになります。

1. ユーザーに返金する必要があります。
2. 彼らは評判の喪失に対処しなければなりません。

パスワードは、いくつかの方法でこれらの損失を減らすために使用できます。

• 侵入がユーザーのパスワードを推測することによるものである場合、銀行はそれが彼らのせいではなく、弱いパスワードを選択したユーザーのせいであると主張することができます。これにより、評判へのダメージが制限されます。
• 同様に、ユーザーに過失があることを指摘できる場合は、ユーザーに返金しないことで逃げることができます。

パスワードが強力な場合、侵害の可能性は低くなります。しかし（そしてそれは重要なポイントです）、長くて複雑なパスワードはユーザーの確率を高めます忘却彼のパスワード。このような事態は、ヘルプデスクへの電話、つまりお金の損失を意味します。ここではトレードオフの可能性があります。

覚えておかなければならないのは、銀行は自身の利益を最大化しようとしているため、状況のあなた自身の評価と必ずしも一致しない基準を使用しているということです。really強力なユーザーパスワードは、レガシーシステムとの互換性レイヤーやヘルプデスクの使用量の増加など、コストが高くなることを意味する場合、反対する可能性があります。彼らの最善の利益は必ずしもあなたの最善の利益と一致するとは限りません。

さらに、パスワードのセキュリティは、よく理解されていないため、一般的に実装が不十分です。これは、さまざまな神話が浮かんでいることからもわかります（たとえば、句読点を含めるとセキュリティが向上するという神話）。銀行がoldであるということは、最近のテクノロジーをうまく処理できるという意味ではありません。

いずれにせよ、銀行口座の盗難のほとんどのケースは、推測しやすいパスワードではなく、キーロガーで盗まれたパスワードが原因です。 「パスワードルール」の効果は統計的にも現れない可能性があります。そのため、銀行には、特定のセキュリティポリシーがどれほど効率的または非効率的であるかを測定する実際の方法がありません。

Cannot match or be a subset of your Login IDの要件は理解していますが、最大8文字で、記号はありませんか？基本的に、パスワードの安全性を制限するだけで、何も提供されません。彼らがパスワードをハッシュするのなら、なぜあなたがそれらに入れることができる文字数/文字数を制限するのですか？

また、パスワードがソルトされていないという事実も心配です。ソルトしないと、データベースにプレーンテキストではなくハッシュで保存され、アクセスできるすべての従業員がパスワードを読み取れるようになるためです。パスワード。

返信して、自分の資産が安全であるとは考えていないことを伝える前に、何かが足りないのでしょうか、それとも過剰反応しているのでしょうか。

あなたはまったく過剰反応していません。私はこれに似たセキュリティ対策を備えた銀行を使用することさえ考えません、これはあなたのお金の大部分であるアカウントではないことを覚えておいてください。