我今晚登录了我的银行,并提示所有客户出于“安全原因”都被迫更改密码。
新密码的策略是:6 到 10 个字符,无特殊字符,无重复字符,不区分大小写。
我的旧密码比这个好得多。我使用了随机密码生成器。
我不是安全专家,但这似乎是一个宽松的政策。我是不是太偏执了?这是一个商业帐户。
我应该怀疑我自己被黑了吗?
注意:ATM 卡号不是银行在线认证过程的一部分。
注意 2:我去了Password Meter并能够拼凑一些符合此标准的密码,并且 Password Meter 认为“非常强”。我仍然担心是错的吗?
是的,这是一个错误的密码策略,但可以通过以下方式缓解:
不要将其与旨在抵御离线破解的策略进行比较:如果您担心银行的离线密码破解,那么您可能会担心直接密码嗅探。
从大多数标准来看,这是一个糟糕的密码策略,但这是书中最古老的问题(或借口)(至少对于加拿大银行而言):
安全与便利
银行并不认为失去用户便利是很重要的。事实是,他们并没有因为黑客(至少现在)考虑阻碍用户体验而损失足够的钱。
2 因素身份验证可能会减轻这一点,但不是很多。
*@Joseph 是对的,你应该抱怨,因为人们抱怨和揭露的越多,他们可能会做的越多。我不明白为什么他们在不强迫任何人的情况下不提供它,所以如果你愿意的话,至少它就在那里。我的意思是连帽都不敏感……很常见。
您的银行可能正在使用诸如 RSA 的自适应身份验证之类的产品。它使用多个属性来评估行为(例如 IP 地址、登录时间、设备指纹等),以确保登录正常。它甚至可能与真实的人进行异常分析相关联,甚至与 Equifax 等第三方相关联。
我的银行允许我有一个极小的密码,我对此并不满意,但我也知道他们至少在后台有 RSA 软件添加额外的检查。
好吧,大多数在这里发帖的人都是出于安全考虑,因此大多使用强密码。
但银行还有另一个顾虑:使用“123456”作为密码的用户感到安全。
例如,我自己的银行强迫我使用字符密码。为什么?因为他们希望鼓励用户选择具有高熵的强密码,因为他们可以选择这么短的密码。因为几乎每个人都能记住 5 个字符的随机序列。(顺便说一句,您仍然必须使用您的银行卡进行交易,所以 2FA 就在那里)
我猜你的银行也发现了同样的想法。他们希望鼓励用户选择强密码,从而制定这项新政策。这对于具有良好密码的用户来说是不利的,但我会说(没有真正的统计数据 :( )默认情况下只有百分之几的用户使用复杂的、不可攻击的密码。
现在来判断政策:我认为,对于大多数用户来说,这很好,因为他们被鼓励使用更强的密码,只有少数人不得不受苦(讽刺的是,关心安全的人)。对于其余部分,您可以建议银行提供一些(隐藏的)方法来获得允许的更强密码,可能是通过强制用户联系支持以允许不同的策略。