警告：不要更改您的密码！

这似乎正是诈骗者欺骗您向他们提供密码的方式。你真的认为你的银行会在周五发送这样的消息，而最后期限正好在周末，所以你没有机会打电话给他们进行验证？

这里有两种不同的观点。

对您（专家用户）的影响。 如果您选择适当的密码，您可以选择足够强的密码。如果您选择一个随机的 10 个字符的密码，其中每个字符是从 a-zA-Z0-9（62 种可能性）中随机且独立地选择的，那么您的密码将具有 59 位熵。这在实践中绰绰有余：密码猜测不太可能成为对系统的最简单攻击，并且足以确保您的密码不太可能成为系统中最薄弱的环节。

对普通用户的影响。考虑到典型用户通常如何选择他们的密码，这种改变是否是一个好主意是一个不同的问题。我的意见：我认为这是一个坏主意。许多用户选择基于单词或短语的密码。这些类型的密码每个字符的熵少于 5.7 位，因此，长度限制可能对普通用户产生更大的影响。此外，长度限制排除了长密码短语，这是选择强密码的最佳方法之一。

底线。可以安全地使用您的信用合作社的系统，因此对您而言，影响可能相对较小。然而，这并不意味着他们的改变是一个好主意。我认为在密码长度上引入最多 10 个字符是一个坏主意，而且对他们来说是一个非常可疑的决定，所以是的，这会让我担心他们做出了错误的决定——但对你的影响尤其可能是相当大的适度，如果您选择适当的新密码。

坦率地说，对于您而言，我更关心其他威胁媒介，例如您机器上的恶意软件，而不是密码猜测。此外，它们的实施质量可能比长度限制有更大的影响。如果他们限制了攻击者可以进行的猜测次数，如果他们对存储的密码进行了适当的散列和加盐，并且如果他们有防止密码数据库泄漏的铁定方法，那么 10 个字符的密码可能不是他们系统中最薄弱的环节。

我建议您关注的最重要的事情是：如果您的帐户存在未经授权的活动（例如，有人侵入您的帐户并执行您未请求的交易），谁来负责？您的信用合作社是否承诺补偿您并使您免受任何损失？他们是否在政策中以书面形式说明这一点？如果他们这样做，这是他们的问题，而不是你的问题。如果他们不这样做，那么无论他们的密码策略是什么，您都将承担相当大的风险。在美国，我的印象是，基本上所有银行都会承诺赔偿任何未经授权的交易，如果您的帐户是消费者帐户（不是企业帐户）。就个人而言，我不会与不承诺偿还我的银行做生意——如果我的银行试图让我承担责任，我会换银行。

银行以及信用合作社受FFIEC的指导，PCI 不一定指导或影响银行或信用合作社，或者其成员访问其在线账户的要求（您的完整 PAN 可能甚至无法从您的银行的网上银行网站）。

就风险而言，这里有几件事需要考虑，这将在下一段中变得更加重要。您实际上可以在 CU 的网站上做什么？您可以将钱转移到外部帐户或将账单支付到 CU 以外的帐户吗？许多金融机构实际上只提供淡化的在线报表功能。在这种情况下，是的，您的余额可能会暴露出来，但没有人会清除您的帐户，希望他们无论如何都会修改您的完整帐号。还有哪些其他因素可以控制访问 - 质询问题、站点密钥（个人图像）、验证码、图形密码输入、凭据的客户端加密等。是否存在使实际执行蛮力变得困难的机制攻击。

我认为这里要问的一个重要问题是，CU 是否正在为网上银行实施多因素身份验证，随着监管机构的强调，这一点变得越来越重要。自 2005 年以来，FFIEC 一直在推动金融机构使用多因素 - 请参阅FIL-103-2005（在底部下载完整的 PDF）。自去年以来一直有更新推送FIL-50-2011。如果您对银行和信用合作社的更多 IT 安全要求感到好奇，可以查看FFIEC IT 手册。一般来说，FFIEC 指南也适用于信用合作社——它是一个跨机构组织. 如果您有 MFA，则较短密码被暴力破解或以其他方式发现的风险显着降低。请注意，这应该是真正的 MFA，例如电话因素或令牌，坐键式图像不是真正的多因素身份验证。

他们也可能集成了一些无法使用长密码的第三方服务，仍然有一些供应商提供遗留产品，这些产品可能非常小众或对您的金融机构有其他吸引力。

编辑：正如下面的评论所指出的，PCI 不适用于金融机构，除非他们提供信用卡

==

抱歉，PCI-DSS 合规性只要求长度为 7。我面前没有文字，但该部分是 8.5.10。

其他人可能会引用适当的段落。