Omsätt insikter i handling: Bitwarden Access Intelligence är nu tillgängligt Läs mer >

Bitwarden-bloggen

Industry Leaders Security Rankings: Banking Edition

B
skriven av:Bitwarden
publicerad :

Tillåter din bank dig att enkelt använda starka och unika lösenord? Efter ett forskningsdrivet tillvägagångssätt för slutanvändare, satte vi oss nyligen för att svara på den frågan. Vi har begränsat vår forskningslista till de 5 bästa bankerna i USA rankade efter tillgångar som vi har identifierat som:

  • Bank of America

  • Citi

  • JPMorgan Chase

  • amerikanska banken

  • Wells Fargo

Därifrån bestämde vi kriterier för att utvärdera lösenordssäkerhet, testade kriterierna och presenterar nu resultaten med ett numeriskt betygssystem.

Finansiell information, liksom annan personligt identifierbar information som personnummer i USA, är otroligt känslig. Som konsumenter kan intyga kan brott mot banklösenord i bästa fall leda till störande olägenheter och i värsta fall livsvarande ekonomisk förlust. Den amerikanska regeringen har noterat.

I november 2021 beordrade amerikanska banktillsynsmyndigheter banker att rapportera "cybersäkerhetsincidenter" till sin primära statliga tillsynsmyndighet inom 36 timmar. Det är troligt att paraden av högprofilerade dataintrång - JPMorgan Chase 2014; Capital One 2019 - hjälpte till att driva denna regel framåt.

Även om det är omöjligt för oss individuellt att kontrollera cyberkriminellt beteende, kan vi kontrollera våra lösenordspraxis. En av de bästa strategierna för att skydda din finansiella information är att använda ett starkt och unikt lösenord och utnyttja andra verktyg som lösenordshanterare, autentiseringsappar och säkerhetsnycklar för att ytterligare förbättra säkerheten. Naturligtvis måste bankerna även möjliggöra användningen av dessa verktyg. Läs vidare för att ta reda på om de har gjort det.

Rankningskriterier

Kriterierna som används för att bedöma lösenordssäkerhet är:

Tillåter banken lösenord som är minst 40 tecken?

Experter rekommenderar att lösenord är starka och unika, där styrkan bäst bestäms av långa, slumpmässiga lösenord. I vår anteckning om Hur säkert är mitt lösenord delar vi: "Korta lösenord är mycket mer mottagliga för en brute force attack, där en dator eller skadlig programvara går igenom varje 8-siffrig kombination (eller fler) av tecken tills den hittar en matchning."

För syftet med den här övningen utvärderar vi specifikt om organisationer tillåter användare att skapa lösenord som är minst 40 tecken - ett antal vi nöjt oss med eftersom lösenordsfraser, som blir allt populärare, tenderar att vara ganska långa. Dessutom kan lösenordshanterare - som hjälper människor att skapa, lagra och hantera lösenord - generera mycket längre lösenord för ökad säkerhet som kan överskrida gränsen. 

Tillåter banken användare att klistra in och autofylla lösenord?

Det här är bra. Lösenordsklistring möjliggör användning av lösenordshanterare och autofyll möjliggör snabb och enkel inloggning.

Erbjuder banken tvåfaktorsautentisering (2FA)?

Det här är bra. Som vi har sagt gång på gång är tvåfaktorsautentisering säkrare än att bara använda ett användarnamn och lösenord.

Tillåter banken autentiseringsappar?

Tillåter banken autentiseringshårdvara?

Dessa är båda bra. Autentiseringsappar och hårdvara lägger till extra nivåer av starkt skydd och är säkrare än SMS-meddelanden.

Skickar banken ett e-postmeddelande som informerar användaren om en lösenordsåterställning?

Kräver banken att användaren loggar in igen med det nya lösenordet?

Dessa är båda praktiska steg. Det är klokt att varna användare om en lösenordsändring som de kanske inte har auktoriserat. Att kräva att de loggar in igen är en säkerhetspraxis.

Lösenordssäkerhet poängsystem

I bedömningen ingår ett betyg för varje bank. För att bestämma betyget tilldelade vi antingen ✅ (ja) eller ⛔ (nej) till de sju frågorna ovan. Till exempel är 7/7 ett perfekt betyg, eller 100 % (tyvärr fick ingen bank ett perfekt betyg!). En 5/7 är 71%, vilket definieras som rättvist.

Nedan finns en enkel guide till betygsättningen. Nedanför ser du betygen för varje bank.

Betygsguide

  • 85-100%: Bra

  • 71-84%: Rättvist

  • 0-70%: Utrymme för förbättring


Bank of America

Bank of America får ett Room for Improvement-betyg eftersom den anger en lösenordslängd på 8-20 tecken. Systemet tillåter inte användning av autentiseringsappar eller autentiseringshårdvara. På andra fronter är det i linje med bästa praxis.

Lösenordssäkerhet: utrymme för förbättringar

⛔ Tillåter inte lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

⛔ Tillåter inte autentiseringsappar

⛔ Tillåter inte autentiseringshårdvara

✅ Informerar användare om lösenordsåterställning

✅ Kräver inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 57 %


Citi

Citi klarar sig bättre än Bank of America eftersom det inte begränsar lösenordslängden och användare kan utnyttja autentiseringshårdvara. Autentiseringsappar är dock inte ett alternativ.

Även om det informerar användarna om en lösenordsåterställning, kräver Citi inte att användarna loggar in igen med det nya lösenordet.

Lösenordssäkerhet: Rättvist

✅ Tillåter lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

⛔ Tillåter inte autentiseringsappar

✅ Tillåter autentiseringshårdvara

✅ Informerar användare om lösenordsåterställning

⛔ Kräver inte inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 71 %


Jaga

Chase missar att begränsa lösenordslängden. Det andra området där det vacklar - i likhet med sina konkurrenter - är i autentiseringsappen och autentiseringsmaskinvaran.

Kanske kommer Chase att leda vägen på autentiseringsfronten. Eller kommer Wells Fargo att slå Chase till det?

Lösenordssäkerhet: utrymme för förbättringar

⛔ Tillåter inte lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

⛔ Tillåter inte autentiseringsappar

⛔ Tillåter inte autentiseringshårdvara

✅ Informerar användare om lösenordsåterställning

✅ Kräver inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 57 %


amerikanska banken

US Bank kommer in med den lägsta procentsatsen, vacklar i fyra kategorier. Även om grunderna finns där - att klistra in, 2FA, informerar användare om lösenordsåterställning - har det en del att göra och begränsar lösenordslängden mellan 8-24 tecken.

Lösenordssäkerhet: utrymme för förbättringar

⛔ Tillåter inte lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

⛔ Tillåter inte autentiseringsappar

⛔ Tillåter inte autentiseringshårdvara

✅ Informerar användare om lösenordsåterställning

⛔ Kräver inte inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 42 %


Wells Fargo

Wells Fargo gör tyvärr ett par grundläggande misstag genom att begränsa lösenordslängden till 8-32 tecken och inte kräva att användarna loggar in igen efter att ha ändrat sina lösenord. Annars har Wells Fargo tagit ett steg framåt med sitt förhållningssätt till autentiseringshårdvara.

Lösenordssäkerhet: utrymme för förbättringar

⛔ Tillåter inte lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

⛔ Tillåter inte autentiseringsappar

✅ Tillåter autentiseringshårdvara

✅ Informerar användare om lösenordsåterställning

⛔ Kräver inte inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 57 %

Slutsats

Det finns några mönster att notera. För det första tillåter alla banker på denna lista att klistra in lösenord. Det betyder att det inte finns någon bra ursäkt för att undvika att använda en lösenordshanterare. Om du använder en lösenordshanterare eller är intresserad av att komma igång, läs mer om Fem bästa metoder för lösenordshantering.

Därefter är det klart (och beundransvärt) att 2FA har blivit mainstream! Om du inte redan har gjort det rekommenderar vi starkt att du aktiverar det. För mer om 2FA, kolla in "Top 10 brännande frågor på 2FA". Vi är också glada att se att användarna informeras när deras lösenord återställs. Ur ett säkerhetsperspektiv är detta en enkel sak.

Även om detta kriterium inte är uttömmande, kommer det till kärnan i hur företag kan möjliggöra stark lösenordssäkerhet. Och vi hoppas att det ger dig en känsla av hur din bank presterar, oavsett om du behöver förbättra din lösenordssäkerhet med några av de funktioner som erbjuds, eller till och med om du behöver hitta en ny bank.

Så, hur fungerade din bank? Följ Bitwarden på Twitter och låt oss veta.

Kom igång med Bitwarden

Är du redo att komma igång med en lösenordshanterare idag? Kom snabbt igång med ett gratis Bitwarden-konto, eller registrera dig för en 14-dagars gratis provperiod av våra affärsplaner så att ditt företag och dina kollegor kan hålla sig skyddade.

Branschledares säkerhetsrankningsserie

Kom ikapp resten av serien för att se hur de bästa företagen i följande branscher är rättvisa när det gäller att låta konsumenter använda starka lösenord:

Back to Blog

Get started with Bitwarden today.