web-dev-qa-db-fra.com

Ma caisse populaire réduit sa longueur maximale de mot de passe à 10 caractères.

Je viens de recevoir un courrier électronique de ma caisse syndicale disant qu'ils repensent leur service bancaire en ligne et que je devrai changer mon mot de passe d'ici le 22 octobre pour être conforme à la nouvelle limite de 10 caractères. La limite actuelle est de 20 caractères.

Cela réduit l'entropie de mot de passe maximale de 125 à 54 bits (selon Keepass), compromettant la sécurité des mots de passe. Plus important encore, je crains que ce soit des preuves que les architectes Web derrière cette refonte sont désemparés de la sécurité.

Questions :

  1. Est-ce que je m'engage sans rien? Est-ce que 10 caractères suffisent, même si vous êtes limité à des lettres et des chiffres?
  2. Sinon, existe-t-il des règlements spécifiant ou recommandant une durée maximale de mot de passe pour les services bancaires en ligne?
  3. Pouvez-vous recommander une référence sur les meilleures pratiques de sécurité du site Web que je peux envoyer ma caisse pour renforcer mon cas que 10 caractères sont inadéquats?

Mise à jour

J'ai contacté ma Credit Union aujourd'hui (samedi) sur leurs pratiques de sécurité et que quelqu'un a réellement répondu à l'email le même jour. À en juger par les réponses, il ressemble à des fournisseurs hors site qui gèrent les mots de passe, le système de questions de sécurité, etc., et les mots de passe sont cryptés et jamais stockés en tant que texte brut. En outre, ils permettent maintenant de contenir des mots de passe de contenir des symboles plutôt que de simplement des lettres/chiffres, afin d'améliorer légèrement la résistance maximale d'un mot de passe sur ce que j'ai pensé (bien que ce soit toujours une réduction des exigences d'origine). Ainsi, alors que je ne suis pas entièrement convaincu que la sécurité du site est optimale, cela ne ressemble pas à une catastrophe complète. Merci pour tous les conseils et les commentaires.

22
devuxer

AVERTISSEMENT: Ne changez pas votre mot de passe!

Cela semble exactement ce que les escrocs feraient pour vous aider à leur donner votre mot de passe. Pensez-vous vraiment que votre banque enverrait un message comme celui-ci vendredi avec une date limite au cours du week-end, il n'ya donc aucune chance de les appeler à la vérification?

21
Jeff

Il y a deux perspectives différentes ici.

implications pour vous (un utilisateur expert). Si vous choisissez votre mot de passe de manière appropriée, il vous est possible de choisir votre mot de passe de manière assez forte. Si vous choisissez un mot de passe aléatoire de 10 caractères, lorsque chaque caractère est choisi de manière aléatoire et indépendamment parmi A-ZA-Z0-9 (62 possibilités), votre mot de passe disposera de 59 bits d'entropie. C'est plus que suffisant dans la pratique: il est plus que suffisant que la suppression du mot de passe soit improbable comme une attaque la plus facile du système, et plus que suffisamment pour s'assurer que votre mot de passe n'est probablement pas le lien le plus faible du système.

implications pour l'utilisateur moyen. C'est une question différente de savoir si ce changement est une bonne idée, étant donné comment les utilisateurs typiques choisissent normalement leur mot de passe. Mon avis: Je pense que c'est une mauvaise idée. De nombreux utilisateurs choisissent des mots de passe basés sur des mots ou des phrases. Ces types de mots de passe ont beaucoup moins de 5,7 bits d'entropie par caractère, ainsi que la limite de longueur peut avoir un impact plus important sur l'utilisateur moyen. En outre, la limite de longueur exclut de longues phrase phraséphrases, qui sont l'un des meilleurs moyens de choisir un mot de passe fort.

Bottom Line. C'est possible Pour utiliser le système de votre crédit de crédit de manière sécurisée, donc pour vous, l'impact peut être relativement mineur. Cependant, cela ne signifie pas que leur changement est une bonne idée. Je pense que l'introduction d'un maximum de 10 caractères sur la longueur du mot de passe est une mauvaise idée et une décision assez douteuse de leur part, donc oui, cela me ferait craindre qu'ils prennent de mauvaises décisions - mais l'impact pour vous en particulier est probablement joli Modest, si vous choisissez votre nouveau mot de passe de manière appropriée.

Pour vous, franchement, je serais plus préoccupé par d'autres vecteurs de menaces, tels que les logiciels malveillants sur votre machine que sur la supposition de mot de passe. En outre, la qualité de leur mise en œuvre peut avoir une plus grande influence que la limite de longueur. S'ils limitent le nombre de suppositions, un attaquant peut faire, s'ils ne selaient pas les mots de passe stockés de manière appropriée et s'ils ont des moyens IronClad d'empêcher les fuites de la base de données de mot de passe, un mot de passe de 10 caractères n'est probablement pas le lien le plus faible de leur système.

La chose la plus importante que je vous recommande de vous concentrer est la suivante: S'il y a une activité non autorisée sur votre compte (par exemple, une personne pirate de votre compte et effectue une transaction que vous n'avez pas demandée), qui est responsable? Votre population de crédit promet-elle de vous rembourser et de vous rendre entière pour une perte? Est-ce qu'ils déclarent cela par écrit dans leurs politiques? S'ils le font, c'est leur problème, pas votre problème. S'ils ne le font pas, vous prenez des risques considérables, quelles que soient les politiques de mot de passe. Aux États-Unis, mon impression est que, fondamentalement, toutes les banques promettent de vous rembourser pour toutes les transactions non autorisées si votre compte est un compte de consommation (pas un compte d'entreprise ). Personnellement, je ne ferais pas affaire avec une banque qui n'a pas promis de me rembourser - je changeais des banques si ma banque tentait de mettre la responsabilité de moi.

15
D.W.

Les banques, ainsi que les coopératives de crédit, sont soumises à des indications à partir du [~ # ~] Ffiec [~ # ~] , PCI ne guide pas et n'affecte pas nécessairement les banques ou les coopératives de crédit, ni les exigences. Pour que leurs membres accèdent à leurs comptes en ligne (votre complète PAN ne correspond probablement pas même à la banque bancaire Internet de votre banque).

Il y a quelques points à prendre en compte ici en termes de risque, ce qui deviendra plus important dans le paragraphe suivant. Que pouvez-vous réellement faire sur le site Web de la CU? Pouvez-vous transférer de l'argent sur un compte extérieur ou faire payer une facture vers un compte en dehors de la CU? De nombreuses institutions financières ne fournissent vraiment que la fonctionnalité de relevé de l'énoncé en ligne arrosée. Dans ce cas, votre solde peut être exposé, mais personne ne va essuyer votre compte et, espérons-le, ils rédigent de toute façon votre numéro de compte complet. Quels autres facteurs sont en place pour contrôler les questions d'accès - défi, clé de site (images personnelles), captcha, entrée de mot de passe graphique, cryptage latéral client des informations d'identification, etc. Y a-t-il des mécanismes qui rendent difficile la réalisation d'une force brute attaque.

Je pense qu'une question importante à poser ici est de savoir si le CU met en œuvre une authentification multi-facteurs pour la banque en ligne, qui devient de plus en plus important car les régulateurs le soulignent. Depuis 2005, la FFIEC a poussé les institutions financières à utiliser multi-facteurs - voir fil-103-2005 (Téléchargez le fichier complet PDF en bas). Il y a eu une poussée de mise à jour depuis l'année dernière avec FIL-50-2011 . Si vous êtes curieux de faire plus que des exigences de sécurité informatique pour les banques et les unions de crédit, vous pouvez afficher le Ffiec IT Manuel . En règle générale, les conseils FFIEC s'appliqueront également aux coopératives de crédit - c'est un organisation interinstitutions . Si vous avez MFA, le risque d'un mot de passe plus court étant brut forcé ou découvert de manière significative. Remarque, cela devrait être le véritable MFA comme le facteur de téléphone ou un jeton, les images de type SIT-Key ne sont pas une véritable authentification multi-facteurs.

Il est également possible qu'ils ont peut-être intégré un service tiers qui ne fonctionnera pas avec des mots de passe longs, il existe toujours des fournisseurs qui ont des offres héritées qui peuvent être très niche ou une autre très grande allure à votre institution financière.

9
Eric G

Edit: Comme indiqué par les commentaires ci-dessous, PCI ne s'applique pas aux institutions financières à moins d'offrir des cartes de crédit

==

Désolé, la conformité PCI-DSS ne nécessite qu'une longueur de 7. Je n'ai pas le texte devant moi, mais la section est 8.5.10.

Quelqu'un d'autre peut probablement citer le paragraphe approprié.

3
Bradley Kreider

La longueur du mot de passe est beaucoup, beaucoup plus importante que celle appelée complexité et 12 caractères constituent une bonne taille minimale à ce moment-là. 10 caractères La taille maximale est juste un peu moins idiote que la limite de 8 caractères que nous n'avions pas il y a peu de temps sur de nombreux systèmes.

Cela dit, les approximations numériques de Keepass et d'autres outils ont un impact limité sur la sécurité réelle. Il y a beaucoup de façons d'obtenir un mot de passe où la longueur n'a pas d'importance ou pas beaucoup.

0
Tom

Du point de vue d'un piratère éthique, la longueur de mot de passe limitant peut sembler un peu redondante. Il a été prouvé que les mots de passe plus longs tiennent leurs propres craquelins de mot de passe plus que des mots de passe complexes courts. Cependant, il est standard d'avoir une longueur de mot de passe min et max en raison de problèmes de stockage (stocker de nombreux mots de passe longs peut être difficile et consommant des ressources). Avoir une limite de longueur de mot de passe peut également aider à prévenir les attaques de prolongation et les substituts de longueur.

0
pivotpointsecurity