Vaikka en tiedä nimenomaisesti, miten pankit käsittelevät tätä vaatimusta, vaihtoehtoinen prosessi @rakhin mainitsemalle prosessille olisi HSM: n ja palautettavan salauksen käyttäminen.

Ajatuksena on, että koko salasana tallennettaisiin tietokantaan salattuna symmetrisen salauksen avulla (esim. AES). Kun salasanan merkit välitetään sovellukselle, ne syötetään HSM: ään salatun salasanan kanssa.

HSM voisi sitten purkaa salasanan ja vahvistaa, että 3 merkkiä ovat odotettua, palauttamalla pass / epäonnistunut vastaaminen sovellukseen. Joten salasanaa ei missään vaiheessa pidetä tyhjänä (lukuun ottamatta HSM: ää, jota pidetään turvallisena).

Tämä sopisi yhteen tapaan, jolla ATM-verkot voivat käsitellä PIN-salausta (esim. Symmetrinen salaus ja HSM: t)

Aina kun kohtaat tapauksen, jossa tarvitaan jotain muuta kuin koko salasanan hajautettua salasanaa, voit olettaa, että salasanaa ei ole hajautettu. Vaikka PCI-DSS mainittiin, tiedän, että mitään sääntelyä, josta tiedän, koskee pankkeja, jotka salaavat tai hajauttavat salasanatietoja. PCI-DSS ei kata pankkitilitietojasi, mukaan lukien sisäänkirjautuminen PIN-koodillasi tai sen muunnelmilla.

Jos salasana on hyvä, salasana tallennetaan salauksella. Jos ne eivät ole niin hyviä, se voidaan todellakin tallentaa selkokieliseen tekstiin.

Myönnän, että pidän pikemminkin täällä käytävästä kompromissista. Koko salasanatietokanta voi altistua suuremmalle hyökkäysriskille, jos se vaarantuu, mutta vastustaisin sitä, että pankkien turvallisuuden pitäisi olla korkeammassa päässä. Jos epäillään tietokannan vaarantumista, kaikki on muutettava, onko se silti vai salattu. Kummassakin tapauksessa tällä erityisellä menetelmällä hyökkääjältä kestää paljon kauemmin ja enemmän monimutkaisuutta, jotta hän saa tarpeeksi hyödyllistä tietoa hyökkäyksen tekemiseksi näppäinlukijalla.

Jotain tangentiaalisesti liittyvää asiaa: http: //projecteuler.net/index.php?section=problems&id=79

NatWestin järjestelmä näyttää minulta epäilyttävältä. NatWestin järjestelmässä tietojenkalasteluhyökkäys voi todennäköisesti varastaa koko PIN-koodisi ja koko tai suurimman osan salasanastasi. Näin tietojenkalasteluhyökkäys toimisi.

1. Tietojenkalastelusivusto näyttää väärennetyn kirjautumisnäytön, jossa pyydetään 3 numeroa PIN-koodia ja 3 merkkiä salasanaa.

2. Käyttäjä kirjoitti vastauksensa.

3. Tietojenkalastelusivusto antoi nyt vastauksen, joka osoittaa, että merkintä oli väärä, ja kehotti käyttäjää uudelleen.

4. Monet käyttäjät luultavasti olettavat kirjoittaneensa jotain vääriä ja yrittävät uudelleen.

Jos tietojenkalasteluohjelma on fiksu, phishing-sivuston toinen kehote pyytää erilaista numeroa ja merkkiä. Jos käyttäjä yrittää toisen kerran, tietojenkalastelusivusto voi oppia kaikki 4 PIN-numeroa ja 6 salasanaa käyttäjän salasanassa. (Huomaa, että NatWest vaatii käyttäjiä valitsemaan salasanan, joka sisältää 6-8 merkkiä, joten salasanan 6 merkkiä taataan olevan kaikki tai melkein kaikki.) Siinä vaiheessa se on pelin ohi.

Tästä syystä minulle ei ole selvää, että NatWestin järjestelmä ostaa sinulle mitään.

vastaavassa kysymyksessä @captaincomicin kommentti on linkittänyt tähän artikkeliin: Partial Passwords - How? (From Archive.org) Siinä kerrotaan, miten tämä toiminto sallitaan tallentamatta salasanaa palautettavaan muotoon tai hajauttamalla kutakin merkkiä erikseen - käyttämällä Shamirin salaista jakamisjärjestelmää.

Se liittyy vain tangentiaalisesti, mutta David Aspinall (Edinburghin yliopisto) ja Mike Just (Glasgow Caledonian University) julkaisivat vuonna 2013 paperin osittaisista salasanoista: "Give Me Letters 2, 3 and 6!": Partial Password Toteutukset &-hyökkäykset.

Heidän artikkelissaan tarkastellaan verkkohyökkäyksiä, joiden taustajärjestelmän tallennusmekanismilla ei ole merkitystä, mutta se antaa kysymyksellesi välillisen huomautuksen:

Osittaisprotokollan tukemiseksi toteutuksen on joko tallennettava salasanalle pelkkää tekstiä tai suunniteltava mekanismi yksisuuntaisten tarkistusten suorittamiseksi kaikille yhdistelmille, joita voidaan kysyä (mikä voi olla suuri määrä pitkille salasanoille) . Emme tutki tätä hyökkäystilaa täällä.

Ei, mitä he tekevät, on sekoittamalla kukin merkki ja tallentamalla se tai tallentamalla salasana selkeästi toivottavasti turvalliseen laitteeseen, esim. HSM.

Se ei ole huono lähestymistapa; pankki pyytää käyttäjää syöttämään useita merkkejä (esim. HSBC on 3 satunnaisista sijainneista). Se tarkoittaa, että jos troijalainen, avainkirjaaja tai tietojenkalastelusivusto sieppasi nämä 3 merkkiä, heillä ei ole täydellistä salasanaa.

Se antaa myös pankille mahdollisuuden käyttää osittaista salasanaa käyttäjien todentamiseen puhelimitse jne. luottaa salaisiin kysymyksiin tai eri salasanaan, jälleen ilman, että puhelinpalvelun henkilö tietää koko salasanan.

Muutama ongelma, luultavasti siksi sitä ei käytetä laajemmin:

• Tärkein on, että et halua tallentaa salasanaa tyhjään tilaan (itse asiassa PCI-DSS: n kaltaiset säännöt kieltävät sen). Joten lähestymistapa on luoda yksisuuntainen salasanan hajautus ja tallentaa se. Kun käyttäjä syöttää salasanan, se hajautetaan ja verrataan tallennettuun hashiin, jos ne vastaavat käyttäjän todentamista. Osittaisella salasanalla sinun on joko tallennettava salasana käännettävällä salauksella, joka ei ole paras käytäntö, tai tallennettava suuri määrä hajautuksia, esim. HSBC: lle, jolla on syntymäpäivä ja jokainen salasanan merkki vaatii erillisen tiivisteen. Sinun on myös asetettava salasanan enimmäispituus, jotta voit kohdistaa tietokannan kentät kaikkien hashien tallentamiseen (vaikka tällä hetkellä on todennäköisesti älykkäämpiä tietokanta- ja sovellustekniikoita)

• Se kannustaa käyttäjiä valitsemaan heikkoja salasanoja, esim jos minulla on 8 merkin kompleksinen salasana: tpEz% e2S. Yritetään muistaa, mikä on 2., 4. ja 5. merkki vaikeaa, mikä kannustaa käyttäjiä valitsemaan yksinkertaisen sanakirjan sanan.

• Myös siinä tapauksessa, että tilin lukitustyyppiä ei ole, se on eksponentiaalisesti helpompi arvata tai raakaa voimaa 3 merkkiä kuin 8 merkkiä.

• Luottamus siihen, että koko salasana ei ole tiedossa, voi olla väärin esim. jos salasana on Fulham ja tiedät F, l, h, voit arvata kunnolla koko salasanan.

• Tietojenkalastelusivusto, joka yksinkertaisesti kysyi 1. sijaa, 3., 5. sanoi sitten väärän salasanan ja vaihti kyselemään 2., 4., 6. saattoi myös saada koko salasanan, koska käyttäjä todennäköisesti kirjoitti sen ennen kuin ajatteli kahdesti.

• Käyttäjältä mukavuusnäkökulma tarkoittaa, että he eivät voi käyttää selaimia muistaa salasanan tai salasananhallinnan, kuten Lastpass tai 1Password.

Suurin osa pankeista on siirtymässä käyttämättä käyttäjätunnusta ja salasanaa, esim. HSBC tarjoaa RSA-tunnuksen yritysasiakkaille, Barclaysilla on EMV-älykortinlukija, melkein kaikki heistä käyttävät tunnistintekniikkaa, kuten RSA-adaptiivista todennusta, perustamaan selaimen, sijainnin, käyttöprofiilin, nopeuden jne. Perustason passiiviseen todennukseen ja luvattoman käytön havaitsemiseen. / p>