it-swarm.com.de

Passwortstärke und Bank 4 Pin Code?

Warum empfehlen einige Sicherheitsberater die Verwendung eines 8-stelligen Passworts mit oberen, unteren, Ziffern und Symbolen, während Banken nur eine 4-stellige PIN für die Lastschrift und eine 3-stellige PIN für die Kreditkarte verwenden?

Ist es nicht ein Sicherheitsrisiko, wenn Sie so ein kurzes, nicht zufälliges Passwort verwenden?

23
Bladimir Ruiz

Sie vergleichen Äpfel nicht mit Äpfeln, wenn Sie die Passwortstärke mit Ihrer Bank-PIN vergleichen.

Die meisten herkömmlichen Theologien zur Stärke von Passwörtern basieren auf der Tatsache, dass Ihr Benutzername und Ihr Passwort alles sind, was zwischen Ihnen und Ihren wertvollen sicheren Daten steht. Dies sind nur zwei Objekte, die Sie kennen und als solche ist es in Ihrem besten Interesse, ein längeres Passwort mit scheinbar zufälligen Mustern zu haben, um das Erraten von Passwörtern und Brute-Force-Angriffe usw. zu verhindern.

Ihre Bankkarte basiert auf der sogenannten Zwei-Faktor-Authentifizierung - etwas, das Sie haben (Ihre Bankkarte) und etwas, das Sie kennen (Ihre PIN). Dieses zusätzliche Element, etwas zu haben, das Sie haben (was, wie Sie sich erinnern, im ersten Szenario nicht vorhanden ist), erhöht die Sicherheit möglicherweise drastisch, wenn der Gegenstand, den Sie haben, mit großer Sorgfalt behandelt wird. In diesem Sinne können Sie normalerweise mit einem 4-stelligen Code davonkommen, da die Wahrscheinlichkeit, dass jemand Ihre PIN] errät, nachdem Sie Ihre Karte zufällig gefunden haben, ohne Ihr Finanzinstitut zu benachrichtigen, sehr gering ist.

Es versteht sich von selbst, dass die Zwei-Faktor-Authentifizierung nicht ohne Mängel ist (jemand könnte Ihren Magnetstreifen auf eine Karte ohne Chip kopieren und Ihre PIN stehlen). Die zusätzlichen Sicherheitsvorteile ermöglichen Ihnen jedoch kürzere Kennwortlängen, ohne diese zu erhöhen das Risiko für den Inhaber.

29
DKNUCKLES

Ursprünglich hat dies mit der Schwierigkeit eines Brute-Force-Angriffs auf das Passwort zu tun.

Die meisten Websites sind besorgt über die Möglichkeit, dass ein Angreifer eine Datei mit den Hash-Passwörtern aller Benutzer erhält und damit einen Offline-Brute-Force-Angriff durchführt. Ein ordnungsgemäß eingerichteter Angreifer kann möglicherweise Millionen von Vermutungen pro Sekunde anstellen (genaue Rate hängt davon ab, ob die Kennwörter mithilfe eines geeigneten Algorithmus gehasht werden und wie viel Silizium der Angreifer für das Problem einsetzen kann). Selbst 8 Zeichen reichen also wohl nicht aus.

Banken (aus verschiedenen Gründen, die mit ihren unterschiedlichen Sicherheitsmodellen zu tun haben) glauben nicht, dass sie wahrscheinlich Dateien verlieren, die PINs oder ihre Hashes enthalten, ohne es zu merken, oder sie sind sowieso nicht mehr besorgt, als Millionen in irgendeiner anderen Form zu verlieren von Banküberfall. Wenn Sie einen Brute-Force-Angriff auf jemandes PIN) ausführen möchten (abgesehen von Home-Chip und PIN-Lesern)), müssen Sie dessen Karte in einen Geldautomaten stecken oder ein anderes Gerät, das mit dem Bankensystem verbunden ist, und geben Sie eine Nummer ein. Es ist langsam und der Automat frisst die Karte nach 3 falschen Vermutungen.

Einige Websites verwenden eine ähnliche Sperrung, um Online-Angriffe zum Erraten von Passwörtern zu verhindern. Das Hauptproblem, das die Notwendigkeit der Passwortstärke verursacht, ist jedoch der Verlust von Passwort-Hashes. Das Hauptproblem bei der (fehlenden) Notwendigkeit von PIN Stärke) ist die Verwendung der physischen Karte (oder eines Klons davon, wenn Magnetstreifen-Technologie verwendet wird).

Beachten Sie, dass die einfache Version des von mir beschriebenen Modells immer noch einen nicht trivialen Fehler aufweist. Wenn Sie 10.000 Kreditkarten stehlen und an jeder 4-stelligen Stelle 3 Vermutungen anstellen PIN, dann erwarten Sie, dass 3 richtig sind. Natürlich wird ein einzelner Geldautomat feststellen, dass etwas nicht stimmt, wenn es muss Iss 100 Karten hintereinander, also vermute ich/hoffe, dass die Bullen vorher auf dem Weg sind. Das Erraten von Karten-PINs ist für den Angreifer riskant.

Im Allgemeinen achten Banken auch stärker auf verdächtige Kartentransaktionen als Websites auf verdächtige Anmeldungen. Einige Websites versuchen, zusätzliche Sicherheitsmaßnahmen zu bemerken und zu ergreifen, wenn sie eine Anmeldung von einem verdächtigen Standort aus bemerken, wodurch zusätzliche Sicherheit hinter dem Kennwort hinzugefügt wird. Aber alle Kartenzahlungssysteme versuchen dies zu tun. Nicht dass sie immer Erfolg haben.

Ich weiß nicht, welchen Effekt Home Chip und PIN Leser darauf haben. Ich habe nur meinen verwendet, um zu bestätigen, dass mein PIN korrekt ist, ohne dass eine Kommunikation mit Es könnte so einfach sein, dass der Chip intelligent genug ist, um sich selbst nach ausreichenden falschen Vermutungen zu sperren. Dies würde immer noch dem Angriff mit 10.000 gestohlenen Karten unterliegen. Sie würden 99,97% der Karten verbrennen Chips, aber diese könnten immer noch für Karten verwendet werden, bei denen kein Betrug vorliegt, und die anderen 0,03% wären gut für Betrug, für den die PIN erforderlich ist. Natürlich werde ich diese Theorie nicht mit meiner eigenen Karte testen ;-)

Angreifer mit der Fähigkeit, physische Karten in dieser Größenordnung zu stehlen, spielen wahrscheinlich sowieso nicht damit herum, PINs zu erraten. Es ist einfach nicht die effizienteste Möglichkeit, Geld von gestohlenen oder geklonten Karten zu extrahieren.

Kurz gesagt, ja, es besteht ein gewisses Risiko, kurze Passwörter zu verwenden, die möglicherweise erraten werden. Aber im Vergleich zu Websites ist das Erraten für Angreifer viel schwieriger, Banken verteidigen sich gründlich gegen Kartenbetrug und sie haben auch höhere Kosten, wenn jemand eine PIN] vergisst als Websites mit Passwörtern. Also wählen sie einen anderen Kompromiss.

8
Steve Jessop
  1. Dies ist nur ein Teil der Authentifizierung, wobei das physische Vorhandensein der Karte auch Teil des Beweises ist.
  2. Sie werden nach einer Folge fehlgeschlagener Versuche gesperrt. Bei einer nur 4-stelligen Zahl PIN] beträgt die Gesamtwahrscheinlichkeit, dass jemand die PIN errät) im Allgemeinen 0,03%. oder 0,003% und 0,0003% für 5- und 6-stellige PINs und weniger als 0,00025%, wenn Sie die Option auf 4-, 5- oder 6-stellig haben. (In Wirklichkeit kann ein Angreifer die Chancen erhöhen, indem er beliebte Zahlen auswählt, aber Sie erhalten immer noch nicht die 1000–1210000 Versuche, die erforderlich sind, um den Erfolg mit roher Gewalt zu garantieren.

Es ist erwähnenswert, dass ein Teil davon auf die Tatsache zurückzuführen ist, dass DOS durch falsche Anmeldung kein Risiko darstellt. Wenn diese Website beispielsweise nach einer festgelegten Anzahl von Versuchen eine ähnliche Gesamtsperre aufweist (anstatt möglicherweise nur eine IP zu blockieren), kann dies ein Ärgernis sein, wenn versucht wird, das Kennwort für verschiedene Benutzer (ob gezielt oder nur) zu erraten Schlagen Sie alle Benutzer von der veröffentlichten Liste ), bis sie gesperrt werden. Dies könnte in der Tat eher ein Problem sein, als ein Passwort erfolgreich zu erraten. Ein solcher Angriff könnte die Site unbrauchbar machen, während ein erfolgreiches Brechen eines Passworts einen begrenzten Vandalismus ermöglichen würde, der subtil sein müsste (was Mühe erfordert) oder bald durch Moderation blockiert würde.

Bei einem Geldautomaten oder einer Chip-and-PIN-Karte macht der Unterschied in dem, was geschützt ist, die Sperrung nützlicher, während die Notwendigkeit, die Karte selbst (oder einen Klon davon) zu haben, bedeutet, dass jemand uns nur dann böswillig sperren kann, wenn er sie sperrt Haben Sie die Karte. In diesem Fall haben wir einen Teil unserer Sicherheit verloren und möchten , dass ausgesperrt wird.

3
Jon Hanna

Die Anforderungen für Passwörter, die Ziffern, Symbole und Mischungen aus Groß- und Kleinbuchstaben enthalten, basieren auf der Idee, dass der Angreifer eine Kopie des Hash-Passworts hat. Da der Angreifer über eine Kopie des Hash-Passworts verfügt, kann der Angreifer Millionen und Abermillionen von Vermutungen anstellen, basierend auf der Prüfung unzähliger Wörterbucheinträge sowie Variationen, z. B. dem Hinzufügen kleiner ganzzahliger Präfixe und Suffixe zu jedem Wort, wobei O und durch 0 ersetzt werden bald. Der Angreifer kontrolliert diese Cracking-Software, die ihn nach fünf fehlgeschlagenen Versuchen nicht aussperrt.

PINS basieren auf der Idee, dass der Speicher, in dem sich die PIN befindet) in gewissem Sinne sicher ist. Dies allein rechtfertigt keine bloße vierstellige PIN: Ein weiterer Faktor ist, dass Sie die Karte besitzen, die Sie können kein Bargeld von einem Bankautomaten erhalten, wenn Sie nur eine Benutzer-ID und eine PIN haben, aber keine Karte. Wenn Sie die Karte haben, aber nicht die PIN, so dass Sie nur raten müssen, werden Sie es tun nach mehreren erfolglosen erneuten Versuchen gesperrt werden. Beachten Sie, dass beim Online-Banking, für das Ihre Karte nicht erforderlich ist (nur Ihre Kartennummer), Ihre PIN für die Protokollierung) nicht verwendet wird in.

In Bezug auf den ersten Punkt ist in der Tat keine vernünftige Annahme, dass der Angreifer eine Kopie des Hash-Passworts hat. Oder vielmehr, diese Annahme ist für mich, den Endbenutzer, nicht akzeptabel. Wenn wir auf einer Website ein äußerst schwieriges Passwort auswählen, sagen sie uns tatsächlich: "Wir bemühen uns nicht, Ihre persönlichen Daten vor Angreifern zu schützen --- wie z. B. Ihren Passwort-Hash" . Das Problem dabei ist, dass das Kennwort wahrscheinlich die am wenigsten wichtige persönliche Information ist, wenn ich nicht dasselbe Kennwort für mehrere Dienstanbieter erneut verwende (schlechte Sicherheitspraxis). Im Idealfall enthält es überhaupt keine persönlichen Informationen. Wenn ein Angreifer Zugriff auf mein Hash-Passwort hat, bedeutet dies, dass der Angreifer Zugriff auf meinen gesamten Benutzerdatensatz hat, und das ist das Problem, nicht das Passwort.

Ironischerweise schränken viele Systeme mit dieser Art von Richtlinie die Kennwortlänge stark ein und lehnen einige Zeichen wie Leerzeichen ab, sodass Benutzern die sinnvolle Alternative verweigert wird, eine lange Kennwortphrase verwenden zu können, die leichter zu merken und einzugeben ist. Dies zeigt, dass die Personen, die diese Kennwortprüfung implementieren, die Probleme nicht wirklich verstehen und sich mehr Sorgen darüber machen, dass sie durch das Kopieren aller anderen Aktionen tadellos bleiben.

2
Kaz

Für EC-Karten (in Deutschland sehr häufig) sind 6 Ziffern erforderlich, verglichen mit den 4 für ViSA und MasterCard. Natürlich ist es etwas sicherer, wenn Sie die Chance, Ihren PIN Code) rein zufällig zu finden, durch 100 teilen. 3 falsche Versuche bedeuten natürlich, die Karte zu blockieren.

0
user3723247