Soru:
Banka, belirlediğimden farklı bir şifre kabul ediyor
Llwyd
2014-01-22 23:19:28 UTC
view on stackexchange narkive permalink

BT güvenliği konusunda pek tecrübeli değilim, bu yüzden lütfen bana katlanın.

Kısa süre önce, bankamın çevrimiçi sisteminin doğru şifre ve rastgele karakterlerden oluşan şifreleri kabul edeceğini keşfettim. Örneğin, eğer şifrem "şifre" ise, "şifre1" veya "şifre43435" gibi şeyleri kabul edecektir. Bunun herhangi bir hashing + salt yöntemiyle veya hatta bir dize karşılaştırmasıyla gerçekleşmemesi gerektiğinden oldukça eminim. Korkunç derecede güvensiz olduğu için endişelenmeme neden oluyor, bu yüzden şifreleri saklamak için böyle şeylerin olmasına izin veren güvenli bir yöntem olup olmadığını merak ediyorum. Ve değilse, bunun gibi şeylerin nasıl olduğunu kimse açıklayabilir mi?

Bunu 7 karakterden kısa şifreler için denediniz mi? Daha uzun şifreleri kesen eski DES şifreleme karması gibi bir şey olabilir.
Mümkünse banka adını bilmek isterim =)
Iki yanıtlar:
kiBytes
2014-01-22 23:23:56 UTC
view on stackexchange narkive permalink

Elbette var, ancak bu onun iyi bir uygulama olduğu anlamına gelmez.

Muhtemelen bankanız şifrenizi sekiz karaktere indiriyor (bu sınır eski sistemlerde çok kullanılıyordu). Bankanız basitçe dizenin ilk sekiz karakterini alır, hash'lerle kendi hash'leriyle karşılaştırır. Bu, en azından şifresinin uzunluk sınırı kadar güvenlidir.

İlk 4,5,6,7 ... N ile dizedeki her karmayı denemek gibi daha fazla olasılık vardır. (burada N, kullanıcının girdiği dizenin uzunluğudur) bir eşleşme bulana kadar karakter, ancak ilk tahminimin iyi olduğuna inanıyorum =)

Yani güvenli bir giriş yapacaksınız ilk sekiz karakteriniz (veya kullandıkları miktar) olarak. Sadece ikinci yöntemi kullanırlarsa (ki kesinlikle şüpheliyim) oturum açma şifreniz kadar güvenli olacaktır.

Bankamın bunu yapmasından hoşlanmayacağım ama ... Paranız onlar tarafından garanti edildiği için hacklenirlerse sorumluluğu onların elinde olduğunu düşünün (ancak başınız ağrıyor).

Sadece bu da değil, bu ilk birkaç karakterde yeterince karmaşıklığa sahip olduğunuzu umuyorsunuz. "password1q@W" güzel ve karmaşıktır. "parola" ilk önce kaba kuvvetle denenecek ... Eğer sadece 8 karakter kullanıyorlarsa, telafi etmelerini sağlamak için bunu kullanıcılara iletmeleri gerekir.
"Paranız onlar tarafından garanti altına alındığından (ancak baş ağrınız olacak), hacklenirlerse sorumluluğu onların elinde olduğunu düşünün." Tüm ülkelerde aynı [ABD'deki kayıp yasaları] (http://www.consumer.ftc.gov/articles/0213-lost-or-stolen-credit-atm-and-debit-cards) yoktur.
Rory McCune
2014-01-22 23:25:19 UTC
view on stackexchange narkive permalink

Çok güvenli değil, ancak bankalarda bu alışılmadık bir durum değil. Olası olan şey, şifre uzunluğu üzerinde katı bir üst sınıra sahip bir arka uç sisteme (ana bilgisayarı veya diğer eski platformları düşünün) sahip olmalarıdır.

Dolayısıyla, yaptıkları şeyin, muhtemelen depolama için ana bilgisayara aktarmadan önce parolayı kısaltmak olduğunu tahmin ediyorum. Bu temelde, karma işlemi yapmadan önce her zaman şifreleri kestikleri sürece şifreyi düzgün bir şekilde karma haline getirebilirler. Alternatif olarak, şifreleme anahtarlarını korumak için şifreliyor ve bir çeşit güvenlik donanımı (örneğin bir Donanım güvenlik modülü (HSM)) kullanıyor olabilirler.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...