Ma caisse populaire réduit sa longueur maximale de mot de passe à 10 caractères.

AVERTISSEMENT: Ne changez pas votre mot de passe!

Cela semble exactement ce que les escrocs feraient pour vous aider à leur donner votre mot de passe. Pensez-vous vraiment que votre banque enverrait un message comme celui-ci vendredi avec une date limite au cours du week-end, il n'ya donc aucune chance de les appeler à la vérification?

Il y a deux perspectives différentes ici.

implications pour vous (un utilisateur expert). Si vous choisissez votre mot de passe de manière appropriée, il vous est possible de choisir votre mot de passe de manière assez forte. Si vous choisissez un mot de passe aléatoire de 10 caractères, lorsque chaque caractère est choisi de manière aléatoire et indépendamment parmi A-ZA-Z0-9 (62 possibilités), votre mot de passe disposera de 59 bits d'entropie. C'est plus que suffisant dans la pratique: il est plus que suffisant que la suppression du mot de passe soit improbable comme une attaque la plus facile du système, et plus que suffisamment pour s'assurer que votre mot de passe n'est probablement pas le lien le plus faible du système.

implications pour l'utilisateur moyen. C'est une question différente de savoir si ce changement est une bonne idée, étant donné comment les utilisateurs typiques choisissent normalement leur mot de passe. Mon avis: Je pense que c'est une mauvaise idée. De nombreux utilisateurs choisissent des mots de passe basés sur des mots ou des phrases. Ces types de mots de passe ont beaucoup moins de 5,7 bits d'entropie par caractère, ainsi que la limite de longueur peut avoir un impact plus important sur l'utilisateur moyen. En outre, la limite de longueur exclut de longues phrase phraséphrases, qui sont l'un des meilleurs moyens de choisir un mot de passe fort.

Bottom Line. C'est possible Pour utiliser le système de votre crédit de crédit de manière sécurisée, donc pour vous, l'impact peut être relativement mineur. Cependant, cela ne signifie pas que leur changement est une bonne idée. Je pense que l'introduction d'un maximum de 10 caractères sur la longueur du mot de passe est une mauvaise idée et une décision assez douteuse de leur part, donc oui, cela me ferait craindre qu'ils prennent de mauvaises décisions - mais l'impact pour vous en particulier est probablement joli Modest, si vous choisissez votre nouveau mot de passe de manière appropriée.

Pour vous, franchement, je serais plus préoccupé par d'autres vecteurs de menaces, tels que les logiciels malveillants sur votre machine que sur la supposition de mot de passe. En outre, la qualité de leur mise en œuvre peut avoir une plus grande influence que la limite de longueur. S'ils limitent le nombre de suppositions, un attaquant peut faire, s'ils ne selaient pas les mots de passe stockés de manière appropriée et s'ils ont des moyens IronClad d'empêcher les fuites de la base de données de mot de passe, un mot de passe de 10 caractères n'est probablement pas le lien le plus faible de leur système.

La chose la plus importante que je vous recommande de vous concentrer est la suivante: S'il y a une activité non autorisée sur votre compte (par exemple, une personne pirate de votre compte et effectue une transaction que vous n'avez pas demandée), qui est responsable? Votre population de crédit promet-elle de vous rembourser et de vous rendre entière pour une perte? Est-ce qu'ils déclarent cela par écrit dans leurs politiques? S'ils le font, c'est leur problème, pas votre problème. S'ils ne le font pas, vous prenez des risques considérables, quelles que soient les politiques de mot de passe. Aux États-Unis, mon impression est que, fondamentalement, toutes les banques promettent de vous rembourser pour toutes les transactions non autorisées si votre compte est un compte de consommation (pas un compte d'entreprise ). Personnellement, je ne ferais pas affaire avec une banque qui n'a pas promis de me rembourser - je changeais des banques si ma banque tentait de mettre la responsabilité de moi.

Les banques, ainsi que les coopératives de crédit, sont soumises à des indications à partir du [~ # ~] Ffiec [~ # ~] , PCI ne guide pas et n'affecte pas nécessairement les banques ou les coopératives de crédit, ni les exigences. Pour que leurs membres accèdent à leurs comptes en ligne (votre complète PAN ne correspond probablement pas même à la banque bancaire Internet de votre banque).

Il y a quelques points à prendre en compte ici en termes de risque, ce qui deviendra plus important dans le paragraphe suivant. Que pouvez-vous réellement faire sur le site Web de la CU? Pouvez-vous transférer de l'argent sur un compte extérieur ou faire payer une facture vers un compte en dehors de la CU? De nombreuses institutions financières ne fournissent vraiment que la fonctionnalité de relevé de l'énoncé en ligne arrosée. Dans ce cas, votre solde peut être exposé, mais personne ne va essuyer votre compte et, espérons-le, ils rédigent de toute façon votre numéro de compte complet. Quels autres facteurs sont en place pour contrôler les questions d'accès - défi, clé de site (images personnelles), captcha, entrée de mot de passe graphique, cryptage latéral client des informations d'identification, etc. Y a-t-il des mécanismes qui rendent difficile la réalisation d'une force brute attaque.

Je pense qu'une question importante à poser ici est de savoir si le CU met en œuvre une authentification multi-facteurs pour la banque en ligne, qui devient de plus en plus important car les régulateurs le soulignent. Depuis 2005, la FFIEC a poussé les institutions financières à utiliser multi-facteurs - voir fil-103-2005 (Téléchargez le fichier complet PDF en bas). Il y a eu une poussée de mise à jour depuis l'année dernière avec FIL-50-2011 . Si vous êtes curieux de faire plus que des exigences de sécurité informatique pour les banques et les unions de crédit, vous pouvez afficher le Ffiec IT Manuel . En règle générale, les conseils FFIEC s'appliqueront également aux coopératives de crédit - c'est un organisation interinstitutions . Si vous avez MFA, le risque d'un mot de passe plus court étant brut forcé ou découvert de manière significative. Remarque, cela devrait être le véritable MFA comme le facteur de téléphone ou un jeton, les images de type SIT-Key ne sont pas une véritable authentification multi-facteurs.

Il est également possible qu'ils ont peut-être intégré un service tiers qui ne fonctionnera pas avec des mots de passe longs, il existe toujours des fournisseurs qui ont des offres héritées qui peuvent être très niche ou une autre très grande allure à votre institution financière.

Edit: Comme indiqué par les commentaires ci-dessous, PCI ne s'applique pas aux institutions financières à moins d'offrir des cartes de crédit

==

Désolé, la conformité PCI-DSS ne nécessite qu'une longueur de 7. Je n'ai pas le texte devant moi, mais la section est 8.5.10.

Quelqu'un d'autre peut probablement citer le paragraphe approprié.

La longueur du mot de passe est beaucoup, beaucoup plus importante que celle appelée complexité et 12 caractères constituent une bonne taille minimale à ce moment-là. 10 caractères La taille maximale est juste un peu moins idiote que la limite de 8 caractères que nous n'avions pas il y a peu de temps sur de nombreux systèmes.

Cela dit, les approximations numériques de Keepass et d'autres outils ont un impact limité sur la sécurité réelle. Il y a beaucoup de façons d'obtenir un mot de passe où la longueur n'a pas d'importance ou pas beaucoup.

Du point de vue d'un piratère éthique, la longueur de mot de passe limitant peut sembler un peu redondante. Il a été prouvé que les mots de passe plus longs tiennent leurs propres craquelins de mot de passe plus que des mots de passe complexes courts. Cependant, il est standard d'avoir une longueur de mot de passe min et max en raison de problèmes de stockage (stocker de nombreux mots de passe longs peut être difficile et consommant des ressources). Avoir une limite de longueur de mot de passe peut également aider à prévenir les attaques de prolongation et les substituts de longueur.