Spørsmål:
Banken aksepterer et annet passord enn det jeg har angitt
Llwyd
2014-01-22 23:19:28 UTC
view on stackexchange narkive permalink

Jeg er ikke spesielt kjent med IT-sikkerhet, så vær så snill å bære med meg.

Jeg oppdaget nylig at bankens elektroniske system godtar passord som består av riktig passord, og en streng med tilfeldige tegn. Så hvis for eksempel passordet mitt er "passord", vil det godta ting som "passord1" eller "passord43435". Jeg er ganske sikker på at dette ikke skal skje med noen form for hashing + saltmetode, eller til og med en strengesammenligning. Det gjør meg bekymret for at det bare er fryktelig usikkert, så jeg lurer på om det er noen sikker metode for lagring av passord som gjør at ting som dette kan skje. Og hvis ikke, kan noen forklare hvordan ting som dette skjer?

Har du prøvd dette for passord som er kortere enn 7 tegn? Det kan godt være noe som den gamle DES-kryptahashen som avkorter lengre passord.
Jeg vil gjerne vite banknavnet, hvis det er mulig =)
To svar:
kiBytes
2014-01-22 23:23:56 UTC
view on stackexchange narkive permalink

Det er sikkert det, men dette betyr ikke at det er en god praksis.

Sannsynligvis hakker banken passordet ditt til åtte tegn (denne grensen ble brukt i gamle systemer). Banken din tar ganske enkelt de første åtte tegnene i strengen, hasjer den og sammenligner med sin egen hash. Dette er i det minste sikkert like sikkert som passordets lengdegrense.

Det er flere muligheter som de prøver hver hash i strengen med de første 4,5,6,7 ... N (der N er lengden på strengen brukeren skrev inn) tegn til de finner samsvar, men jeg tror at mitt første gjetning er den gode =)

Så du vil ha en pålogging så sikker som de første åtte tegnene dine (eller mengden de bruker). Hvis de bare bruker den andre metoden (som jeg tviler veldig på), vil påloggingen være like sikker som passordlengden.

Jeg kommer ikke til å like banken min, men ... Tenk at de har ansvaret hvis de fikk hack siden pengene dine er garantert av dem (men du vil ha hodepine).

Ikke bare det, men du håper du har nok kompleksitet i de første få tegnene. "password1q@W" er hyggelig og sammensatt. "passord" vil først bli prøvd med brute force ... Hvis de bare bruker 8 tegn, må de kommunisere det til brukerne for å gjøre det mulig for dem å kompensere.
"Tenk at de har ansvaret hvis de fikk hack siden pengene dine er garantert av dem (men du vil ha hodepine)." Ikke alle land har de samme [tapslovene som USA] (http://www.consumer.ftc.gov/articles/0213-lost-or-stolen-credit-atm-and-debit-cards) har.
Rory McCune
2014-01-22 23:25:19 UTC
view on stackexchange narkive permalink

Det er ikke veldig sikkert, men i banker er dette et ikke uvanlig mønster. Det som sannsynligvis skjer er at de har et back-end-system (tenk mainframe eller annen eldre plattform) som har en hard øvre grense for passordlengde.

Så jeg antar at det de gjør er avkorting av passordet, sannsynligvis før det sendes til hovedrammen for lagring. På den bakgrunn kan de hashe passordet ordentlig så lenge de alltid avkorter det før hashing. Alternativt kan de kryptere den og bruke en eller annen form for sikkerhetsmaskinvare (f.eks. En maskinvaresikkerhetsmodul (HSM)) for å beskytte krypteringsnøklene.



Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 3.0-lisensen den distribueres under.
Loading...