为什么银行需要如此低的密码熵来访问web/应用程序?
为什么银行需要如此低的密码熵来访问web/应用程序?
提问于 2022-09-17 07:37:09
我曾与许多银行合作,要求有4-6个字符的密码。有些人甚至强迫只使用数字。
这样一个糟糕的密码正在保护您的财务信息,因为MFA通常是不可用的。事实是,当你想要执行一个操作时,你可以通过短信或移动应用程序得到确认,但是要检查这些信息并不是必需的。
我很好奇,因为银行已经实现了很多安全功能,如BBVA,仍然使用这样的密码。所以,这可能是有原因的,因为大多数银行,而不仅仅是一两家银行。
我不相信这是由于遗留系统造成的,因为正如我所说的,如果他们在此过程中实现了其他安全特性,我很难怀疑他们无法处理20+多年前的密码要求。
回答 1
Security用户
发布于 2022-09-18 16:47:09
这是密码的复杂性和记住密码的可能性之间的通常平衡。一个标准的人可以记住4-6位的密码而不写在某处,但是找到一个好的密码是许多银行客户所无法做到的。
当然,密码对于暴力攻击确实很弱,但是解决方案是通过在3到5个错误后锁定帐户来防止此类攻击。大致相同的银行卡在3次错误代码后被锁定。
据我所知,很少(如果有的话)成功的攻击实际上是猜测代码。更多的人只是试图通过假装是银行雇员来说服老板放弃它。出于这个原因,银行坚持他们的客户永远不应该在电话中给出密码,而且他们的员工永远不会要求它。但是,目前加强代码超过8位数并不是一个问题。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/264867
复制相关文章
相似问题
腾讯云开发者
