21

興味があり、それが私を激怒させるので、ここの誰かがたまたま銀行で働いているか、そうでなければこれに対する答えを知っているのではないかと思っていました.

私はいくつかのオンライン バンキング サイト (英国と北米) を使用しましたが、それらは普遍的に次のパスワード パターンを強制し/[\w\d]{6,8}//.{6,20}/います。ほぼすべての !banking サイトにアクセスできます。

これはストレージ スペースに関係していると言われていますが、数学ではそれがサポートされていないようです。銀行がパスワード レコード用にシャドー テーブルを保持していると仮定して、1 アカウントあたり平均 10 と寛大に言いましょう。パスワードの許容長を 2 倍にし、8 文字 8 ビットの既存の形式に基づいて文字セットのビット幅を 2 ​​倍にすると、余分な11*を意味します。 2*8 = アカウントあたり 176 バイトなので、1M アカウントあたり ~168Mb です。1 億の口座をサポートする巨大な銀行だとしましょう - それでも 16Gb しかありません!

そんな単純なことじゃないですよね?確かに私の数字は根拠がありません。

または、銀行は銀行であり、恐竜をうろついているよりも良い理由はないというのがここでの答えです。

www.random.com/forum のパスワードが銀行のパスワードよりも強力な技術的な理由を知っている人はいますか?

4

5 に答える 5

39

ある銀行について聞いた話が本当なら...

これは、パスワードを入力するたびに次のことが原因です。

  • Web サーバーは、1989 年に銀行の管理者が使用していた UI (Borland C 1.0 のカスタム ハッキング バージョンを使用してコンパイル) を実行している、0.5 km のシリアル ケーブルを介して、放棄されたオフィスにある古い 386 に送信します。シリアル インターフェイスがないため、AT キーボードのキー押下をシミュレートする別のデバイスを経由する必要があります。
  • このプログラムは、あなたのパスワードを含むあなたの要求を (もう使用するには弱すぎるが、ソフトウェアで無効にすることはできないカスタム アルゴリズムを使用して暗号化された)、反対側の別の放棄されたオフィスにある NetWare ファイル サーバー上の FoxPro データベースに挿入します。建物(移動しようとすると粉々になるからです。)
  • 最初の放棄されたオフィスに戻ると、別の古い 386 が FoxPro データベースを絶えずポーリングして新しいレコードを探し、この要求を検出し、さらに遅いシリアル ケーブル (今回は EBCDIC) を介して、PDP11 を実行しているエミュレートしている 3 番目のオフィスの別のボックスに転送します。アカウントを管理する実際の COBOL プログラム。
  • 残念ながら、彼らはまだ本物のPDP11 を必要としています。別の安全な暗号化アルゴリズム用のカスタム マイクロコードが含まれていたからです (抽出できないか、改ざん防止デバイスがそれを消去します)。 1981 年 (最初に廃止しようとして失敗した年) 以来、現在 (スクリーンスクレーパーとエミュレートされたハードディスクの別の層を介して) メインサーバーに代わって機能のサブセット (パスワード検証を含む) を実行するようにだまされています。

したがって、パスワードは、これらすべてのシステムでサポートされている文字セットの共通サブセットのみを使用でき、関連する最短のデータベース フィールドと同じ長さしか使用できません。

于 2009-07-21T11:43:29.347 に答える
34

私は実際に現在銀行で働いており、過去にもかなりの数の銀行で働いてきました。

これが発生する主な理由は、一般に、これらの決定を行う最終的な責任を負う人々が、最終的にそれらを実装する人々ではないためです。銀行の「ビジネス ユニット」は、最終的にこれらの意思決定を行う非技術的なビジネス エキスパートです。多くの場合、技術的な異議は政治的またはビジネス上の理由で却下されます。しかし、これは銀行に限ったことではありません。これは、技術的な考慮事項が主要な関心事ではないことが多い業界で発生します。

于 2008-12-04T16:54:14.810 に答える
10

銀行は、主にレガシーシステムへのインターフェイスとしてオンラインサービスを使用しています。あなたのパスワードはおそらくどこかでIBMメインフレームによって処理されており、Cobolで書かれており、パスワード構造は70年代に設計された可能性があります。

さらに、銀行はそのような政治構造であるため、経営陣は主に「具体的な」結果を見て、セキュリティなどの問題は、それがホットな問題になるまで対処されず、その後、それに対処するための「イニシアチブ」があります。

私が働いていたある銀行では、本番パスワードはユーザーIDと同じでした(「root」「root」でログインするのと同じ考えです)。ユーザーのパスワードは、オンラインで名前の最初のN文字とSSNの最後の4桁の組み合わせにリセットできるため、ユーザーが名前とSSNを知っていて、ログインしている場合は、すべてのユーザーがパスワードをリセットできます。

于 2009-07-21T12:07:51.527 に答える
7

おそらくほとんどの銀行システムは、8 文字のパスワードが安全であると考えられていたずっと前に開発されたものです。いずれにせよ、銀行口座からパスワードを総当たり攻撃することを考える人はいないと思います.8文字はまだたくさんあります. 私は、すべての銀行が 3 回ほど試行した後に口座をブロックするに違いありません。

于 2008-12-04T17:03:07.833 に答える
2

これは、私が最近クライアント (銀行ではなく、ありがたいことに!) のために構築したサイトに関して、Bugzilla に記録された「バグ」です。

「ユーザーはパスワードに ! または _ を使用することを余儀なくされているようです*。これは少し奇妙に思えます。英数字のみを使用できる 6 桁から 8 桁のパスワードになるように、このベンを更新できますか?」

  • 実際には、少なくとも 1 つの英数字以外の文字でした
于 2009-07-21T11:49:45.073 に答える