为什么银行密码如此脆弱？

Question

出于兴趣并且因为这激怒了我，我想知道这里的某个人是否碰巧在银行工作或以其他方式知道这个问题的答案。

我使用过一些在线银行网站（英国和英国） .America）并且他们普遍强制使用 /[\w\d]{6,8}/ 的密码模式。有时，也许你可以使用下划线，但你永远不会使用 /.{6,20}/，您在几乎所有遇到的！银行网站上都会（或多或少）获得这些信息。

有人告诉我这与存储空间有关，但数学似乎并不支持这一点。 假设银行为您的密码记录保留影子表，让我们慷慨地说每个帐户平均有 10 个，然后将密码允许的长度加倍，并将基于 8char 8bit 现有格式的字符集位宽加倍意味着 每个帐户额外 11*2*8 = 176 字节，因此每 1M 帐户约 168Mb。 假设这是一家支持 100M 账户的大型银行 - 但仍然只有 16Gb！

事情不可能这么简单吧？ 当然，我的数字有误。

或者这里的答案是，银行就是银行，他们没有更好的理由，就像他们是缓慢的恐龙一样。

有谁知道为什么我的 www.random.com/forum 密码比我的银行密码强的技术原因？

Answer 1

如果我听到的关于某些银行的故事是真的……

那是因为每当您输入密码时：

• Web 服务器都会通过半公里长的串行电缆将其发送到废弃办公室中的旧 386，运行 UI（使用 Borland C 1.0 的自定义破解版本进行编译，该版本由 1989 年银行经理使用，该版本没有串行接口，因此必须通过另一个模拟 AT 键盘上按键的设备。
• 该程序将您的请求（包括您的密码）（使用自定义算法加密，该算法太弱而无法再使用，但无法在软件中禁用）插入到位于网络另一端的另一个废弃办公室的 NetWare 文件服务器上的 FoxPro 数据库中。 这
• 回到第一个废弃的办公室，另一台旧的 386 不断地轮询 FoxPro 数据库以获取新记录，检测到此请求并通过更慢的串行电缆（ EBCDIC 中的时间）到第三个办公室的另一个盒子，该盒子正在模拟运行维护帐户的实际 COBOL 程序的 PDP11。
• 不幸的是，他们仍然需要真正的 PDP11，因为它具有用于另一种安全加密算法的自定义微代码（他们无法提取该算法，否则防篡改设备会将其删除。）PDP11 无法处理自 1981 年（他们第一次尝试停用该帐户失败的那一年）以来，所有开设的帐户的工作量都在增加，因此现在（通过另一层屏幕抓取工具和模拟硬盘）它被诱骗在以下帐户上执行功能子集（包括密码验证）代表主服务器。

因此，您的密码只能使用所有这些系统支持的字符集的公共子集，并且只能与所涉及的最短数据库字段一样长。

Answer 2

事实上，我现在在一家银行工作，过去也曾在多家银行工作过。

发生这种情况的主要原因是，一般来说，最终负责制定这些决策的人并不是最终执行这些决策的人。
银行的“业务部门”是最终做出这些决策的非技术业务专家。
在许多情况下，技术异议会因政治或商业原因而被驳回。 但这并不是银行业独有的。 这种情况发生在任何技术考虑因素通常不是主要关注点的行业。

Answer 3

银行主要使用在线服务作为旧系统的接口。 您的密码可能正在由某处的 IBM 大型机处理，用 Cobol 编写，并且密码结构可能是在 70 年代设计的。

另外，由于银行是这样的政治结构，管理层主要看到的是“具体”结果，因此安全等问题只有在成为热点问题后才会有“举措”来解决。

在我工作过的一家银行，生产密码与用户 ID 相同（与使用“root”“root”登录的想法相同）。 用户密码可以在线重置为您姓氏的前 N ​​个字母 + 您的 SSN 的后 4 位数字的组合，因此任何用户如果知道您的姓名和 SSN 并以您的身份登录，都可以重置您的密码。

Answer 4

可能大多数银行系统都是很久以前开发的，当时 8 个字符的密码被认为是安全的。 无论如何，我认为没有人会考虑从银行帐户中暴力破解密码，8 个字符仍然很多。 我敢打赌，所有银行都会在尝试 3 次左右后冻结账户。

Answer 5

这是我在 Bugzilla 中记录的一个“错误”，涉及我最近为客户（不是银行，谢天谢地！）构建的一个网站：

“似乎用户被迫在密码中使用 ! 或 _*，这对我来说有点奇怪。这个本可以更新，使其成为只能使用字母数字的 6 - 8 位密码吗？”

• 实际上，它至少是一个非字母数字字符