銀行は6文字の英数字のパスワードを使用するように強制します
私の銀行(オーストラリアで最も大きな銀行の1つであるWestpac)には、パスワードに奇妙な制限がいくつかあります。長さは最大6文字で、A〜Zの文字と0〜9の数字のみを含める必要があり、大文字と小文字の区別はありません。
私は他のオンラインアカウントではるかに長いパスワードやパスフレーズを使用することに慣れており、銀行のパスワードの強度は比較的弱いようです。一方、私の財務へのパスワードは、フォーラムのログイン、ebayアカウントなどの他のものよりもはるかに重要なもののようです...
では、なぜ大手銀行はより強力なパスワードを選択できないのですか?彼らのセキュリティについて心配する必要がありますか?
つまり、彼らはほぼ間違いなく6文字のデータベースフィールドにプレーンテキストでパスワードを格納しています。 (ハッシュ関数 は長さに関係なく固定サイズの値を生成するので、彼らが(塩入れされた)ハッシュだけを保存している場合-必要に応じて、パスワードの長さを気にしません入力(パスワード)。
あなたの銀行はおそらく70年代(または業界がソルトハッシュで標準化する前から)のシステムをまだ使用しており、これを整理するためにパスワードのセキュリティを十分に真剣に受け止めていません。これは多くの銀行に当てはまります。あなたは不平から始めるべきです。
それが違法でさえない場合(6文字のパスワードが唯一の認証メカニズムであることがわかる)、それは確実に懸念されます。銀行のこの低レベルのセキュリティは私を驚かせます!
私は彼らの セキュリティページ を見てみましたが、ここでは、あなたのアカウントが侵害された場合に支払うことになると言われています。とにかく、その銀行がユーザーの資格情報を失った場合、すべてのパスワードが数分で解読されると思います。 36文字のアルファベットは恐ろしいです。
顧客用のSecurIDトークンを無料で持っているようです。すぐに手に入れます。
他の人が示したように、それは現代の基準に達していないセキュリティ対策を示唆しています。ただし、リスク評価は、個人顧客への経済的被害のリスクが低い(ゼロではないにしても)ことを示しているようです。これは、銀行が(Henning Klevjerによると)侵害が発生しても顧客がお金を失うことはないことを示しているためです。
銀行はそのようなコミットメントを満たすことができますか?ほぼ間違いなく。広範囲にわたる妥協があった場合、彼らは違法な電信送金を取り消す影響力を持ち、多額の現金が引き出されているかどうかに気づくでしょう(そして、法定通貨のいいところはいつでももっと多くを印刷できるということです!:D)
したがって、可能な限り優れたセキュリティを実践する必要があります(つまり、可能な限りすべての文字タイプを使用し、パスワードを再利用せず、ランダムにしてください)、この場合の損失の実際のリスクは低いようです。