password size

[stas]

American Express излагает официальную позицию насчёт ограничения размеров паролей.
У меня есть счета в нескольких банках, из них 2 (весьма крупных) ограничивают размеры пароля, по неизвестным науке причинам. Does this make sense to anyone?

I would like to inform you that our website has a 128 bit encryption. With this base, passwords that comprise only of letters and alphabets create an algorithm that is difficult to crack. We discourage the use of special characters because hacking softwares can recognize them very easily.

или:

The length of the password is limited to 8 characters to reduce keyboard contact. Some softwares can decipher a password based on the information of “most common keys pressed”. Therefore, lesser keys punched in a given frame of time lessen the possibility of the password being cracked.

По-моему, это полный бред, но может я чего-то недопонимаю?

Кстати, слово software действительно приобрело множественное число или это в AmEx грамотеи собрались?

Comments

[kot-begemot.livejournal.com]

По-моему, хня по обоим пунктам. Т.е. полная хня.
В зашифрованном виде (т.е. после их хвалёного 128-битного шифрования) что алфавитно-цифровые, что специальные символы не "угадываются" никак. Другое дело, что распространённое заблуждение о вреде спец. символов имеет под собой определённую основу - их мало, легче перебрать комбинации при лобовом креке. Но с другой стороны, ограничивая или запрещая их применение, они тем самым сужают перебор для "кошерных" паролей.
Что же касается статистических отловов через клавиатуру - это просто полный бред. Пароль ты вводишь один раз за сессию (много - два, если первый раз ошибёшься). Сколько ж статистики надо собрать, чтобы именно пароль выловить, особенно учитывая, что даже средняя продолжительность сессии тебе неизвестна.

[stas]

заблуждение о вреде спец. символов имеет под собой определённую основу - их мало, легче перебрать комбинации при лобовом креке.

Для этого, натурально, надо знать, что в данной позиции - спецсимвол. Откуда можно взять такое знание, я не представляю.

Сколько ж статистики надо собрать, чтобы именно пароль выловить

Мало того, что за программа такая, которая знает статистику нажатий, но при этом не является банальным keylogger-ом - т.е. может спереть пароль без всяких уловок?

[kot-begemot.livejournal.com]

Там всё немного не так. Была (давно) статья популярная о вреде паролей, составленных из одних спец-символов. Именно на том и основывалась, что их мало и чисто лобовым перебором всех комбинаций заданной длинны можно вскрыть поэтому.
А статистика тебе нужна для того, чтобы понять, а что же именно вводили. keylogger-то не видит, что рядом с этим полем написано password.

[stas]

А, ну это небольшая проблема - выделить из корпуса нажатий те, которые похожи на пароль, очень легко.
Я вспоминаю только одно финансовое учреждение - ING Direct - которое пыталось реально бороться с килогерами путём показа на экране кнопок с числами и просьбы кликая по ним, набрать код. Остальные даже не пытаются.
Впрочем, по-моему, то, что делает paypa/ebay - 2-factor auth - гораздо эффективнее.

[selfmade.livejournal.com]

а что такое 2-factor auth?

В bofa я ввожу вначале username, жму submit, потом на втором экране пароль, причём пароль нельзя вводить, если я не вижу мою секретную картинку, типа борьба с рыбаками.

[stas]

это значит, что у вас есть такая электронная фигнюшка, на которой при нажатии кнопки появляется число из 6 цифр, которое надо ввести вместе с паролем. Понятно, что у каждого пользователя числа разные и зависят от времени. T.e. вариантов много, но на практике у пейпала именно этот.

[selfmade.livejournal.com]

не, secure id у меня нету.

[yankel.livejournal.com]

secure id они вроде выдают только бизнес клиентам?

[stas]

Пейпал? Не знаю, мне выдали :)

[yankel.livejournal.com]

Оба!
Сейчас полезу выяснять
Ты сам просил или тебе предложили?

[stas]

Там у них на сайте была кнопка, заказать, ну я и заказал.

[manta.livejournal.com]

Всем с американским, английским или австралийским аккаунтами.

[yankel.livejournal.com]

Aaa, тогда ясно, почему я не мог заказать. :(
Абыдна :(

[pascendi.livejournal.com]

В Уралсибе тоже сделали экранную клавиатуру для ввода паролей.

[ctapnep.livejournal.com]

пароли со спец-символами плохи тем, что а) их сложнее запомнить и набрать б) они дают ложное ощущение бОльшей защищенности (ака криптостойкости) и потому их часто делают короче. А на деле лучше 1 лишний символ по длине, чем десяток лишних символов по азбуке. В плане брутфорса, понятное дело. Вот только я 100 лет уже не слышал о случаях брутфорса.

[kot-begemot.livejournal.com]

Разумеется. Статья-то была в 90-затёртом году, но до сих пор доступна в гугле - вот и порождает такие идиотские правила.

[ygam.livejournal.com]

Кстати, слово software действительно приобрело множественное число или это в AmEx грамотеи собрались?

Последнее.

[msh.livejournal.com]

Это не совсем полный бред, это зашита от keylogging. У врага много keyloggers, они присылают гигасы буковок нажатых жертвами на клавиатуре - как опеределить пароль? Легко, длинная последовательность из букв и цифр быстро набранная за короткий промежуток времени, скорее всего, пароль. Если же там еще и специальные символы внутри - точно пароль. Если мы его нашли - можно смотреть уже данные глазами вокруг этого места.

Понятно что это довольно lame, и плохо держит воду, но это не однозначная ерунда.

Что касается software - я сейчас посмотрел на их сайт, там даже JS functions названы с ошибками. Видимо, у них и программисты, и support в одной, скажем так, Элбонии.

[mtyukanov.livejournal.com]

С этой точки зрения идеально было бы не ограничить длину, а разрешать пробелы. И призывать юзеров составлять пароли вида "Get out as early as you can, and don't have any kids yourself".

[msh.livejournal.com]

пробелы не помогут, все равно юзеры будут вводить пароль быстро, до и после некоторой паузы

На самом деле, я вообще не понимаю по какому поводу Амекс так парится. Я посмотрел свой account - оттуда ничего нельзя вытащить, кроме домашнего адреса номера кредитки. Только номера, без CVV, без даже expiration date. Кому он нужен?

[stas]

кто-то может забраться на ваш счёт и тайком от вас оплатить его!

[yankel.livejournal.com]

Тебе смешно, а некоторые обидятся и таки потеряют аппетит!

[slavka.livejournal.com]

имхо, большинство текстов (включая эту фразу) печатается именно так.

[stas]

Проблема в том, что люди не набирают гигасы данных на клавиатуре - руки отвалятся. А специальные символы бывают - точка, запятая, тире - которые в нормальном тексте отлично встречаются. Но на самом деле нетривиальный пароль легко выделяется словарём, а тривиальный - тоже словарём, но другим :)

[cjelli.livejournal.com]

Насчет спецсимволов, я думаю, программистам банка просто слабо написать регекс на JS, который справится с ними. Вот и придумывают предлоги.

[pascendi.livejournal.com]

Похоже на правду :-)

[stas]

Я думаю, всё хуже - они не знают, как делать escaping данных для базы. Поэтому на всякий случай запрещают спецсимволы, а то у них sql валится. А начальникам обьяснили, что это новые достижения безопасности.

[freebornman.livejournal.com]

Сценарий может быть каким-нибудь самым идиотским.
Например, пароли в зашифрованном виде хранятся в БД, в поле с ограниченной, не очень большой длиной (например 50 - default для поля varchar в SQL Server'e). Поскольку при шифровании строка обычно увеличивается в размерах раза в два-три, то и приходится ограничивать длину пароля до 10-15 символов.
Что мешает увеличить размер поля? А хрен знает. В таких здоровых системах очень часто что-нибудь мешает делать самые казалось бы элементарные вещи. :-))

[stas]

вообще если кодировать стандартными хэшами, то у них размер всегда одинаковый на выходе.

[manta.livejournal.com]

В современном мире бред - это защищаться с помощью паролей, которые воруются самыми примитивными keylogger-ами. А им все равно, какой пароль,- простой или сложный. Пароли как форма authentication неэффективны, но зато бесплатны - в отличие от более эффективных решений.

[sorhed.livejournal.com]

Да, я слышал, что в Америке не во всех ещё банках мультифакторная аутентификация. У нас, пока в PostFinance войдёшь с challenge-response, нужно ввести — сейчас посчитаем — 24 цифры подряд. Каждый раз разных, разумеется.

А длину пароля у нас тоже зачем-то ограничивают. У меня такое подозрение, что это для того, чтобы и аудит безопасности можно было пройти, и чтобы кому надо — расшифровали бы. Хотя разве там вообще что-то шифруют в базе? Не думаю.

[unbe.livejournal.com]

зачем "кому надо" может быть нужен пароль? скорее, просто глупость

[sorhed.livejournal.com]

Да, это я что-то ступил, извините. Шифровать индивидуально имеет смысл разве что документы (которые всегда можно воссоздать) — финансовые данные должны быть доступны для агрегации.

напомнило

[slavka.livejournal.com]

"вероятность аварии прямо пропорциональна времени, проведенному на дороге → следовательно для повышения безопасности надо ехать как можно быстрее" (с)

Re: напомнило

[stas]

Ага, 75% дорожных происшествий происходит по вине трезвых водителей.

[digest.livejournal.com]

I would like to inform you that our website has a 128 bit encryption. With this base, passwords that comprise only of letters and alphabets create an algorithm that is difficult to crack. We discourage the use of special characters because hacking softwares can recognize them very easily.

Жуткая, дремучая х-ня. Причем по стольким пунктам, что даже неясно с чего начать :). 1. Пароли не задают алгоритм, а являются его входным данным. 2. 128 бит не имеет отношения к паролю, а к ключу. 3. Ключ получается из функции, где фигурирует хэш пароля, поэтому длина пароля и наличие спец и не-спец символов к алгоритму не относятся. Ну и так далее.

Налицо вывернутый наизнанку concern про кейлогеры и brute force. Насчет кейлогеров ИМХО проблема надуманная, т.к. при компрометации системы скомпрометированным будет любой пароль любой сложности. А против тупого перебора паролей (brute force) спецсимволы теоретически да работают, т.к. увеличивают число возможных комбинаций (хотя на практике банковская система наверняка ограничит число попыток и атаку brute force не разрешит).

The length of the password is limited to 8 characters to reduce keyboard contact. Some softwares can decipher a password based on the information of “most common keys pressed”.

Бррррр, это и вправду AmEx??! Чушь страшная, похожая на ответ полуграмотного индуса из дешевой техподдержки в Бангалоре. Кейлогер скомпрометирует ЛЮБОЙ клавиатурный пароль, без всякого "decipher", а тупо записывая все клавиши. Даже если пользователь набивает терабайты данных на клавиатуре, во что совершенно не верится, современный кейлогер распределит их по событиям (запустили такую-то программу, нажали такие-то клавиши. Открыли такую-то страницу в браузере, нажали сякие клавиши...), поэтому попытка "быстро набрать пароль, чтобы скрыть от кейлогера чё мы там набирали" смешна и достойна bash.org.

На самом деле ограничить длину пароля рекомендуют для того, чтобы юзверь теоретически мог его запомнить и не писать на PostIt, приклеенном на мониторе, т.е. не компрометирую с бытовой стороны.

[stas]

Это наверняка ответ "полуграмотного индуса из дешевой техподдержки в Бангалоре" (разумеется, ethnicity & location may vary) - только он не сам этот ответ сочинил, ему начальство его выдало. А начальству его сочинили какие-нибудь высокооплачиваемые консультанты по безопасности.

[digest.livejournal.com]

С консультантами получается прикольно, да. Такое ощущение, что настоящий консультант сказал только первую часть каждой фразы, а вторую часть дал закончить кому-то другому, например, секретарше :).

[stas]

Так, наверное, и было. Консультант написал свой вариант, дальше он ушёл в marketing & legal, они там кой-чего поправили, чтоб народу понятнее было и звучало красивше, консультант, если он видел результат, слегка охуел, но было поздно - начальство уже утвердило. Консультант получил деньги и решил, что ему нафиг не надо с этими мельницами воевать, пусть всё будет как есть.