我的网上银行密码安全政策是否足够好?

信息安全 密码策略 银行
2021-08-17 20:59:52

我的银行有一个在线密码安全政策,在我看来,这在所有级别上都是 100% 错误的。由于它是我国最大的银行之一,我相信它是有好处的,并考虑到我没有看到全貌的可能性......

我访问在线门户的方式是使用我的 ID 卡号(由我的国家/地区颁发)作为用户名,并使用与我的主信用卡相同的 PIN 作为密码。这似乎是错误的,原因有几个:

  • 我用于访问网上银行功能的密码是 4 位 PIN 码。
  • 我不能轻易更改我的网上银行密码,我必须去 ATM 并更改我的 PIN。
  • 如果我碰巧丢失了我的信用卡,这已经够糟糕的了,我的网上银行功能也会受到影响。
  • 尽管一些最具“风险”的功能需要我选择的附加所谓的“数字公司”,但这个数字公司必须是一个 8 位数的 PIN。

这看起来够糟糕吗(就像离开那家银行一样糟糕)?他们是否可以使用我看不到的任何安全策略来减轻可能的攻击?这些不良政策在大型银行公司中普遍吗?

1个回答

这在很多层面上都是错误的,我什至不知道从哪里开始......

  • 四位数?严重地?即使你实现了世界上所有的暴力检测,只要运气好,第一次尝试就可以轻易地闯入一个帐户!
  • 您不能以有意义的方式散列四位数字。无论您为 bcrypt 设置的成本因素有多高,它都不会有太大帮助。这意味着所有 PIN 必须以可逆方式存储。如果该数据库泄漏,则无法保护您的帐户...
  • 让人们在计算机上将 PIN 码输入到他们的信用卡上是一个糟糕的想法,不管你用它做什么。您的 PIN 码应该输入到信用卡读卡器中,仅此而已。教客户在网站上赠送它不是一个好主意。
  • 正如您所说,信用卡 PIN 码比密码更难更改。
  • 8 位 PIN 比 4 位 PIN 更好,但仍然不够好。为什么不允许人们使用真实密码?还是2FA?

不,这没有任何借口。没有聪明的保护措施可以做到这一点。考虑换一家银行。

其它你可能感兴趣的问题
上一篇什么是“橙队”? 下一篇使用 JWT 防止重放攻击