Force du mot de passe et banques de code à 4 broches

Vous ne comparez pas les pommes aux pommes dans votre comparaison de la force du mot de passe avec votre code PIN bancaire.

La plupart des théologies traditionnelles de la force des mots de passe reposent sur le fait que votre nom d'utilisateur et votre mot de passe sont tout ce qui vous sépare de vos précieuses données sécurisées. Ce ne sont que deux objets que vous connaissez et en tant que tels, il est dans votre intérêt d'avoir un mot de passe plus long avec des modèles apparemment aléatoires pour empêcher la devinette des mots de passe et les attaques par force brute, etc.

Votre carte bancaire est basée sur ce que l'on appelle l'authentification à deux facteurs - quelque chose que vous avez (votre carte bancaire) et quelque chose que vous connaissez (votre code PIN). Cet élément supplémentaire d'avoir quelque chose que vous avez (qui, comme vous vous en souvenez, vous n'en avez pas dans le premier scénario) augmente considérablement la sécurité lorsque l'article que vous avez est manipulé avec grand soin. Dans cet esprit, vous pouvez généralement vous en sortir avec un code à 4 chiffres car la probabilité que quelqu'un devine votre PIN après avoir trouvé votre carte au hasard sans alerter votre institution financière) est assez faible.

Il va sans dire que l'authentification à deux facteurs n'est pas sans défauts (quelqu'un pourrait copier votre bande magnétique sur une carte sans puce et voler votre code PIN), mais ses avantages de sécurité supplémentaires vous permettent d'avoir des mots de passe plus courts sans augmenter le risque pour le titulaire.

À l'origine, cela a à voir avec la difficulté d'une attaque par force brute sur le mot de passe.

La plupart des sites Web s'inquiètent de la possibilité qu'un attaquant puisse s'emparer d'un fichier contenant les mots de passe hachés de tout le monde et mener une attaque par force brute hors ligne en utilisant cela. Un attaquant correctement configuré pourrait être en mesure de faire des millions de suppositions par seconde (taux exact selon que les mots de passe sont hachés à l'aide d'un algorithme approprié, et combien de silicium l'attaquant peut apporter pour résoudre le problème). Donc, même 8 caractères ne sont sans doute pas suffisants.

Les banques (pour diverses raisons liées à leurs différents modèles de sécurité) ne pensent pas qu'elles sont susceptibles de perdre des fichiers contenant des codes PIN ou leurs hachages sans s'en rendre compte, ou de toute façon elles ne sont pas plus concernées qu'elles ne le sont par la perte de millions sous toute autre forme de vol de banque. Si vous voulez faire une attaque par force brute sur quelqu'un PIN alors (en laissant de côté la puce à la maison et PIN lecteurs)), vous devez mettre leur carte dans un guichet automatique ou un autre appareil connecté au système bancaire et saisissez un nombre. C'est lent, et la machine mange la carte après 3 mauvaises suppositions.

Certains sites Web utilisent un verrouillage similaire pour empêcher les attaques de devinement de mot de passe en ligne, mais la principale préoccupation motivant le besoin de force de mot de passe est la perte de hachage de mot de passe. La principale préoccupation motivant le (manque de) besoin de force PIN) est l'utilisation de la carte physique (ou d'un clone de celle-ci, lors de l'utilisation de la technologie de bande magnétique).

Notez qu'il existe toujours une faille non négligeable dans la version simple du modèle que j'ai décrit. Si vous volez 10 000 cartes de crédit et faites 3 suppositions à chaque 4 chiffres PIN alors vous vous attendez à en avoir 3 correctement. Naturellement cependant, un seul guichet automatique remarquera que quelque chose ne va pas s'il doit mangez 100 cartes d'affilée, donc je soupçonne/j'espère que les flics seraient en route avant cela. Deviner les codes PIN des cartes est risqué pour l'attaquant.

En général, les banques accordent également une plus grande attention aux transactions suspectes par carte que les sites Web ne soupçonnent les connexions. Certains sites Web essaieront de remarquer et prendront des mesures de sécurité supplémentaires s'ils remarquent une connexion depuis un emplacement suspect, ajoutant une sécurité supplémentaire derrière le mot de passe. Mais tous les systèmes de paiement par carte essaient de le faire. Non pas qu'ils réussissent toujours.

Je ne sais pas quel effet la puce à la maison et les lecteurs PIN ont sur cela. J'ai juste utilisé le mien pour confirmer que mon PIN est correct, sans aucune communication avec la banque. Cela pourrait être aussi simple que la puce étant assez intelligente pour se verrouiller elle-même vers le bas après suffisamment de suppositions incorrectes. Cela serait toujours sujet à l'attaque de 10 000 cartes volées. Vous brûleriez 99,97% des puces, mais celles-ci pourraient encore être utilisées pour les fraudes sans carte et les 0,03% restants seraient bons pour les fraudes nécessitant le PIN. Naturellement, je ne suis pas sur le point de tester cette théorie avec ma propre carte ;-)

Les attaquants ayant la capacité de voler des cartes physiques à cette échelle ne se soucient probablement pas de deviner les codes PIN de toute façon. Ce n'est tout simplement pas le moyen le plus efficace d'extraire de l'argent de cartes volées ou clonées.

En bref, oui, l'utilisation de mots de passe courts risque de les deviner. Mais par rapport aux sites Web, la supposition est beaucoup plus difficile pour les attaquants, les banques se défendent en profondeur contre la fraude par carte, et elles ont également des coûts plus élevés associés à quelqu'un qui oublie un PIN que les sites Web). avec des mots de passe. Ils choisissent donc un compromis différent.

1. Il ne s'agit que d'une partie de l'authentification, la présence physique de la carte faisant également partie de la preuve.
2. Vous êtes verrouillé après une séquence de tentatives infructueuses, donc avec un chiffre à seulement 4 chiffres PIN la chance totale que quelqu'un devine le PIN est généralement de 0,03%, ou 0,003% et 0,0003% pour les codes PIN à 5 et 6 chiffres et moins de 0,00025% lorsque vous avez l'option de 4, 5 ou 6 chiffres (en réalité, un attaquant peut augmenter les chances en choisissant des numéros populaires, mais ils n'obtiennent toujours pas les 1000–1210000 tentatives nécessaires pour garantir le succès par la force brute).

Il convient de noter qu'une partie de cela vient du fait que la connexion DOS par faux n'est pas un risque. Si, par exemple, ce site Web avait un verrouillage total similaire (plutôt que peut-être de bloquer une seule adresse IP) après un nombre défini de tentatives, alors on pourrait être gênant en essayant de deviner le mot de passe pour différents utilisateurs (qu'ils soient ciblés ou simplement frapper tous les utilisateurs de la liste publiée ), jusqu'à ce qu'ils soient verrouillés. Cela pourrait en fait être plus un problème que de réussir à deviner un mot de passe; une telle attaque pourrait rendre le site inutile, alors que réussir à casser un mot de passe permettrait un vandalisme plus limité qui devrait être subtil (ce qui demande des efforts) ou bien serait bientôt bloqué par la modération.

Avec un GAB ou une carte à puce et à NIP, la différence de ce qui est protégé rend le verrouillage plus utile, tandis que la nécessité d'avoir la carte elle-même (ou un clone de celle-ci) signifie que quelqu'un ne peut nous bloquer par malveillance que s'il avoir la carte, auquel cas nous avons perdu une partie de notre sécurité et voulons être verrouillé.

Les exigences relatives aux mots de passe qui contiennent des chiffres, des symboles et des mélanges de lettres majuscules et minuscules reposent sur l'idée que l'attaquant possède une copie du mot de passe haché. Étant donné que l'attaquant possède une copie du mot de passe haché, l'attaquant peut exécuter des millions et des millions de suppositions contre lui, en se basant sur la recherche d'innombrables entrées de dictionnaire, ainsi que des variantes, telles que l'ajout de petits préfixes et suffixes entiers à chaque mot, en remplaçant 0 par O et bientôt. L'attaquant contrôle ce logiciel de piratage, qui ne le bloquera pas après cinq tentatives infructueuses.

Les PINS reposent sur l'idée que le stockage qui contient le PIN est sécurisé dans un certain sens. Cela ne justifie pas en soi une simple broche à quatre chiffres: un autre facteur est que vous possédez la carte qui va avec le code PIN. Vous ne pouvez pas obtenir d’argent d’un guichet automatique si vous n’avez qu’un ID utilisateur et un code PIN, mais pas de carte. Si vous avez la carte, mais pas le code PIN, de sorte que vous êtes réduit à deviner, vous être verrouillé après un certain nombre de tentatives infructueuses. Notez que la banque en ligne, qui ne nécessite pas votre carte (uniquement votre numéro de carte) n'utilise pas votre PIN pour la connexion) po.

En ce qui concerne à nouveau le premier point, en fait, il n'est pas raisonnable de supposer que l'attaquant possède une copie du mot de passe haché. Ou plutôt, cette hypothèse n'est pas acceptable pour moi, l'utilisateur final. Lorsqu'un site nous oblige à choisir un mot de passe difficile à obtenir, il nous dit en fait: "nous ne faisons aucun effort pour protéger vos informations personnelles des attaquants --- comme votre hachage de mot de passe" . Le problème avec cela est qu'à moins que je ne réutilise le même mot de passe pour plusieurs fournisseurs de services (mauvaise pratique de sécurité), le mot de passe est probablement l'élément d'information personnel le moins important. Idéalement, il ne contient en fait aucune information personnelle. Si un attaquant a accès à mon mot de passe haché, cela signifie que l'attaquant a accès à l'intégralité de mon dossier utilisateur, et c'est le problème, pas le mot de passe.

Ironiquement, de nombreux systèmes avec ce type de stratégie limitent considérablement la longueur du mot de passe et rejettent certains caractères tels que les espaces, de sorte que les utilisateurs se voient refuser l'alternative raisonnable de pouvoir utiliser une longue phrase de mot de passe, qui est plus facile à mémoriser et à taper. Cela montre que les personnes qui mettent en œuvre cette vérification de mot de passe ne comprennent pas vraiment les problèmes et sont plus préoccupées par le fait d'être tenues irréprochables en copiant ce que tout le monde fait.

Les cartes EC (très utilisées en Allemagne) nécessitent 6 chiffres, contre 4 habituellement requis pour ViSA et MasterCard. Donc, bien sûr, c'est un peu plus sûr, divisant par 100 la chance de trouver votre code PIN par hasard, 3 mauvaises tentatives, ce qui signifie bien sûr bloquer la carte).