Parooli tugevuse ja panga PIN-koodi võrdluses ei võrdle te õunu õuntega.

Enamik traditsioonilisi paroolide tugevuse teoloogiaid põhineb asjaolul, et teie kasutajanimi ja parool on kõik, mis teie vahel seisab ja teie väärtuslikud turvalised andmed. Need on lihtsalt kaks objekti, mida teate ja sellisena on teie huvides pikem parool näiliselt juhuslike mustritega, et vältida parooli äraarvamist ja toore jõu rünnakuid.

pangakaardi aluseks on nn kaheastmeline autentimine - midagi, mis teil on (teie pangakaart) ja midagi, mida teate (PIN-kood). See lisaelement, et teil on midagi, mis teil on olemas (mida, nagu mäletate, pole teil esimese stsenaariumi korral), suurendab väidetavalt oluliselt turvalisust, kui teie käsutuses oleva esemega käsitletakse väga hoolikalt. Seda silmas pidades võite tavaliselt neljakohalise koodi saada, sest tõenäosus, et keegi arvab teie PIN-koodi pärast teie kaardi juhuslikku leidmist ilma teie finantsasutust hoiatamata, on üsna väike.

Algselt oli see seotud parooli jõulise rünnaku raskustega.

Enamik veebisaite on mures võimaluse pärast, et mõni ründaja võib kätte saada faili, mis sisaldab kõigi räsitud paroole, ja korraldada võrguühenduseta toore jõu rünnak seda kasutades. Korralikult seadistatud ründaja suudab sekundis teha miljoneid oletusi (täpne määr sõltub sellest, kas paroolid on sobiva algoritmi abil räsitud, ja sellest, kui palju ründaja suudab probleemi kanda). Seega pole isegi 8 tähemärki väidetavalt piisav.

Pangad (erinevatel põhjustel, mis on seotud nende erinevate turvamudelitega) ei usu, et nad tõenäoliselt PIN-koode sisaldavaid faile või nende rässe ilma märkamata kaotavad või igatahes nad pole mures rohkem kui miljonite kaotamise pärast mis tahes muus vormis pangaröövides. Kui soovite kellegi PIN-koodi vastu toorelt rünnata (jättes kõrvale kodused kiibi- ja PIN-koodilugejad), peate selle kaardi panema sularahaautomaati või muusse pangandussüsteemiga ühendatud seadmesse ja sisestama numbri. See on aeglane ja masin sööb kaardi pärast kolme vale oletust.

Mõni veebisait kasutab parooli äraarvamise rünnakute ennetamiseks sarnast lukustust, kuid paroolitugevuse vajaduse tekitamise peamine mure on kadumine parooli räsimist. Peamine probleem, mis põhjustab PIN-i tugevuse vajaduse (puudumise), on füüsilise kaardi (või selle klooni kasutamine magnetribade tehnoloogia kasutamisel) kasutamine.

Pange tähele, et on endiselt mitte-triviaalne minu kirjeldatud mudeli lihtsa versiooni viga. Kui varastate 10 000 krediitkaarti ja teete iga 4-kohalise PIN-koodi kohta 3 oletust, võite eeldada, et saate 3 õigust. Loomulikult märkab üks sularahaautomaat, et midagi on valesti, kui see peab sööma 100 kaarti järjest, nii et ma kahtlustan / loodan, et politseinikud oleksid enne seda teel. Kaardi PIN-koodide arvamine on ründaja jaoks riskantne.

Üldiselt pööravad pangad ka kaarditehingute kahtlustamisel suuremat tähelepanu kui veebisaidid sisselogimiste kahtlustamisel. Mõni veebisait üritab kahtlasest asukohast märkides sisselogimist märgata ja teha täiendavaid turvameetmeid, lisades parooli taga täiendavat turvalisust. Kuid kõik kaardimaksesüsteemid üritavad seda teha. Mitte et see neil alati õnnestuks.

Ma ei tea, kuidas kodused kiibi- ja PIN-koodi lugejad sellele mõjuvad. Ma lihtsalt kasutasin minu oma PIN-koodi õigsuse kinnitamiseks, ilma et oleksin pangaga suhelnud. See võib olla nii lihtne, kui kiip on piisavalt tark, et lukustada ennast pärast piisavaid valesid oletusi. See oleks ikkagi 10 000 varastatud kaardi rünnaku objekt. Põletaksite 99,97% kiipidest, kuid neid saaks siiski kasutada kaardipettuste puudumisel ja ülejäänud 0,03% oleks hea PIN-koodi nõudvate pettuste jaoks. Loomulikult ei kavatse ma seda teooriat oma kaardiga testida ;-)

Ründajad, kellel on võimalus sellises mastaabis füüsilisi kaarte varastada, ilmselt ei sega PIN-koodide äraarvamise pärast. See pole lihtsalt kõige tõhusam viis varastatud või kloonitud kaartidelt raha välja võtta.

Ühesõnaga, jah, lühikeste paroolide kasutamisel on teatud risk, mida võib arvata. Kuid võrreldes veebisaitidega on arvamine ründajate jaoks palju raskem, pangad kaitsevad kaardipettuste eest põhjalikult ning neil on ka suuremad kulud, kui keegi unustab PIN-koodi kui veebisaidid paroolidega. Nii et nad valivad teise kompromissi.

1. See on ainult osa autentimisest, kusjuures kaardi füüsiline kohalolek on ka tõend.
2. Pärast ebaõnnestunud katsete järjestust lukustatakse teid, nii et 4 ainult PIN-koodiga on PIN-koodi äraarvamise tõenäosus üldjuhul 0,03% ehk 5- ja 6-kohaliste PIN-koodide korral 0,003% ja 0,0003% ning kui 4-, 5- või 6- võimalus on väiksem kui 0,00025% numbrit. (Tegelikkuses võib ründaja koefitsiente suurendada, valides populaarseid numbreid, kuid nad ei saa ikkagi 1000–1210000 katset, mis on vajalikud toore jõu tagamiseks).

Väärib märkimist see osa tuleneb asjaolust, et võltsitud sisselogimisega DOS ei ole oht. Näiteks kui sellel veebisaidil oli pärast määratud arvu katseid sarnane täielik lukustamine (selle asemel, et blokeerida ainult üks IP), võib see häirida, proovides parooli ära arvata erinevate kasutajate jaoks (olgu sihitud või lihtsalt lööb kõiki kasutajaid avaldatud loendist), kuni nad lukustuvad. See võib tegelikult olla pigem probleem kui parooli edukas äraarvamine; selline rünnak võib muuta saidi kasutuks, samas kui parooli edukas rikkumine võimaldaks piiratumat vandaalitsemist, mis peaks olema peen (mis nõuab pingutusi) või muidu oleks modereerimine peagi blokeeritud.

Sularahaautomaadiga või kiip- ja PIN-kaardi puhul muudab erinevus kaitstavas lukustuse kasulikumaks, samas kui kaardi enda (või selle klooni) olemasolu vajadus tähendab, et keegi saab meid pahatahtlikult lukustada ainult siis, kui tal on kaart olemas , mille puhul oleme kaotanud osa oma turvalisusest ja tahame, et meid lukustataks.

Nõuded paroolidele, mis sisaldavad numbreid, sümboleid ja väiketähtede segusid, põhinevad ideel, et ründajal on räsitud parooli koopia. Kuna ründajal on räsitud parooli koopia, saab ründaja selle vastu teha miljoneid ja miljoneid oletusi, tuginedes loendamatute sõnastike kirjete ja variatsioonide uurimisele, näiteks lisades igale sõnale väikseid täisarvude eesliiteid ja järelliiteid, asendades 0 ja 0. nii edasi. Ründaja kontrollib seda kräkkimistarkvara, mis ei lukusta teda pärast viit ebaõnnestunud katset.

PINS-id põhinevad ideel, et PIN-koodi hoidev mälumaht on mõnes mõttes turvaline. See iseenesest ei õigusta pelgalt neljakohalist PIN-koodi: teine ​​tegur on see, et teil on PIN-koodiga kaasas olev kaart. Pangaautomaadist sularaha ei saa, kui teil on ainult kasutajatunnus ja PIN-kood, kuid pole kaarti. Kui teil on kaart, kuid mitte PIN-kood, nii et arvate, et olete arvanud, lukustatakse teid pärast mitut ebaõnnestunud uuesti proovimist. Pange tähele, et Interneti-pangandus, mis ei vaja teie kaarti (ainult teie kaardinumbrit), ei kasuta sisselogimiseks teie PIN-koodi.

Esimese punkti kohta ei ole tegelikult mõistlik eeldus, et ründajal on räsitud parooli koopia. Või pigem pole see eeldus mulle kui lõpptarbijale vastuvõetav. Kui mõni sait sunnib meid valima mõne rängalt keeruka parooli, ütlevad nad meile tegelikult: "me ei tee mingeid jõupingutusi, et kaitsta teie isiklikke andmeid ründajate eest - näiteks teie parooli räsi" . Probleem on selles, et kui ma ei kasuta sama parooli uuesti mitme teenusepakkuja jaoks (halb turbepraktika), on parool tõenäoliselt kõige vähem oluline isiklik teave. Ideaalis ei sisalda see tegelikult isiklikke andmeid. Kui ründajal on juurdepääs minu räsitud paroolile, tähendab see, et ründajal on juurdepääs kogu minu kasutajakirjele, ja see on probleem, mitte parool.

Irooniline, et paljud seda tüüpi eeskirjadega süsteemid piiravad tõsiselt parooli pikkus ja lükake tagasi mõned märgid, näiteks tühikud, nii et kasutajatele keelatakse mõistlik alternatiiv pika paroolifraasi kasutamisele, mida on lihtsam meelde jätta ja sisestada. See näitab, et inimesed, kes seda paroolikontrolli rakendavad, ei saa probleemidest tegelikult aru ja on rohkem mures selle pärast, et neid hoitakse laitmatult, kopeerides kõik, mida teised teevad.

EC-kaardid (Saksamaal väga kasutatavad) vajavad 6 numbrit, võrreldes ViSA ja MasterCardi jaoks tavaliselt vajalikega 4-ga. Nii et loomulikult on see natuke turvalisem, jagades 100-ga võimaluse oma PIN-kood puhta juhuse leidmiseks, 3 valet katset, mis muidugi tähendavad kaardi blokeerimist.