web-dev-qa-db-ja.com

弱いパスワードを要求された場合の対処方法

私の国の州立銀行の安全を確保した人たちは、あらゆる意味で完全に無愛想です。 インターネットバンキングのパスワードは8〜10文字で、文字と数字のみを含める必要があります。
そのような制限がどれほどめちゃくちゃ後方にあるかを強調する必要はないと思います。

別のニュースでは、私のカードのパスワードは正確に4つの数字でなければなりません。ほとんどのパスワードは1年であり、おそらく1年であると確信しています。前世紀の前半と現在の間。

その間、私の電子メールパスワードは...35文字です。

オンラインバンキングアカウントを設定するために必要な唯一の非公開のことは、その4番号のパスワードを持つことです。また、銀行から提供される3音節の大文字と小文字を区別しないパスワードとともにATMでも使用されます。彼らは自分たちのパスワードが弱いことに気付いたと思うので、「ねえ、別の安全でないパスワードを追加しよう」と考えました。

ATMと言えば、9xから2kの間であると私が信じているいくつかのWindowsバージョンを実行します。そのデスクトップは、ソフトウェアがバッファオーバーフローを起こしているように見えるATMで見ました(コマンドプロンプトウィンドウが開いていました)。これは、彼らがセキュリティを真剣に受け止めていることを私に安心させません。

したがって、問題は次のとおりです。

文字セットと数が制限されているという意味で、弱いパスワードを要求された場合、どうしますか?

現在のパスワードをハッシュすることを検討しましたが、常にハッシュを生成するのは面倒です。私の現在の解決策は、電子メールで使用する前述の35文字のパスワードに覚えやすいアルゴリズムを適用することです。

編集:回答が受け入れられたとしても、あなたの考えを共有することを歓迎します。

web-applicationpassword-managementpassword-policydefense
4
Camilo Martin

コメントセクションで説明したように、パスワードベースのセキュリティは銀行にとって非常に最小限です。泥棒がパスワードを盗もうとするのは努力する価値があるからです。基本的には、ブラウザに侵入してエントリをログに記録するだけです。さらに、これが達成された場合、彼らは完全なアクセス権を持ちます。

設定された制限にコミットする必要があるパスワードを入力するため、ハッシュやその他のアルゴリズムなどのアプローチは実際には重要ではありません。したがって、実際には自分で覚えるのが難しくなっているだけですが、ブルートフォースを試みている人は、ブルートフォース攻撃のキャラクターはまだたくさんいますが、それでも同じ努力をしなければなりません。

また、私が個人的に好むセキュリティトークンやSMSベースのワンタイムパスワードなど、他のアプローチについても説明しました。前者の考え方は、カードを手元に置いて、これを使って署名を設定する必要があるというものです。ただし、接続されていないほとんどの実装は、ほとんどのユーザーが実行しようとしているアクションに関連付けることができない番号(ハッシュ)に署名することで機能するため、賢い攻撃者は画面上の番号と実際の番号を変更してあなたをだまそうとする可能性があります。これが接続されたトークンの出番です。このトークンは、その表示を使用して、許可しようとしている完全なアクションを表示します。これは、現時点でおそらく最も使用可能な安全な方法です。しかし、私はあなたの地域でこれらの技術をサポートしている銀行についてはわかりません。

最後に、銀行のセキュリティでは、監査が最も重要です。クレイジーなトランザクションがないかステートメントを確認し、できるだけ早く報告してください。これは依然として銀行のセキュリティに対する最善のアプローチです。たとえば、クレジットカード詐欺はそれほど難しくはありませんが、取引のリコールも難しくありません。

6
Legolas

私が聞いているのは、あなたは自分の銀行に不満を持っているということです。銀行のセキュリティ保護に不満がある場合は、銀行を切り替えるか、銀行のオンラインバンキングサービスを使用しないことをお勧めします。

個人的には、あなたの銀行のアプローチはそれほど不合理だとは思いません。もちろん、パスワードの長さに上限を設けない方が賢明ですが、大まかな計画では、これは一種の二次的なものです。あなたはこれについての視点の感覚を保つ必要があります:

  • まず第一に、どんなに長くて強力なパスワードでも、安全に銀行を利用するための不完全な基盤を提供します。通常、オンラインバンキングアカウントにアクセスするには、パスワードだけでは不十分です。ほとんどの銀行は、パスワードには固有の制限があることを知っているため、さらに何かが必要になります。

  • 次に、文字と数字で構成される8〜10文字のパスワードは、ランダムに選択した場合、十分に安全である可能性があります。すべての文字をランダムな文字または数字(各文字に62の可能性)として選択すると仮定すると、ランダムに均一に選択される10文字のパスワードには、ほぼ60ビットのエントロピーがあります。これらの目的には十分すぎるほどです。したがって、心配な場合は、銀行のパスワードをランダムに選択してください。

  • 第三に、多くの銀行は、オンラインバンキングのアカウントがハッキングされ、誰かが不正な取引を行った場合、銀行があなたの損失を払い戻すことを保証しています。あなたの銀行がその立場を取っている場合、これらの問題はあなたの責任ではなく銀行の責任です-なぜそれを心配するのですか?あなたの銀行がそのような約束をしていない場合、あなたは彼らのオンラインバンキングサービスを使用してリスクを受け入れるかどうかについてより多くの難問を抱えています。

3
D.W.

わかりました、これが私の意見です。 Keepass(または任意のパスワードマネージャー)を使用すると、この「CslmHD5Rh6」のようなランダムなパスワードを生成できます。これはかなり安全なパスワードです。 grc haystackによると、このパスワードを破る可能性は853,058,371,866,181,866分の1になります。これを破る唯一の方法は、パスワードのハッシュを使用することです。ハッシュを取得できた場合、銀行のセキュリティにとってより大きな問題になります。ただし、ハッシュを使用すると、1秒あたり1,000億回の推測で3.25か月かかります。これは実際にはたくさんあります。 2013年、エドワードスノーデンは、NSAが1兆回の推測でパスワードを解読する能力について警告しました。ここでは、2016年にハッカーがそのような速度を持っている可能性がありますが、それを専念するのは法外なことです。そのような強力なパスワードに多くの時間を費やしました。

0
keepass_fan