银行卡为什么只能设置六位数的密码?

service 安全防护 420 次浏览 没有评论

我们认为银行使用纯数字密码不安全,是基于暴力破解的结论上形成的印象,所谓暴力破解,就是把所有字符进行排列组合,然后当成密码去试,暴力破解被认为是一种无所不能的破解方式。

确实,理论上只要计算机速度足够快,时间足够长,没有暴力破解方法破解不了的密码,这也是为什么很多网站都要求用户设置密码要包括数字、大小写字母和特殊符号的原因,密码越复杂,暴力破解需要的时间就越长。

1、暴力破解怎么解

密 码破解这个事情呀,最有效的方法是将数据库down下来,把保存密码的表读出来,这也是很多网站用户名密码失窃的主要途径。后来为了防止密码因为存放密码 数据库泄露而泄露,专门对密码进行了加密,相应的就出现了破解加密方式的破解,目前针对密码加密最好的方式是MD5,是一种不可逆的加密方式,这也是越来 越多网站及密码保存开始使用的方法。暴力破解之所以可以破解MD5加密是因为他不是从密文下手的,而是不断的试不同密码。暴力破解一个简单方法是字典破 解,就是收集大量用户最常用的密码,然后先试这些密码,比如123456、123qwe等等,这也是很多网站提示密码不能太简单的原因。另一种方式是撞 库,因为大家都知道密码最常用的加密方式是MD5,但MD5是不可逆的,但同样密码经过MD5加密出来的密文是相同的,比如密码123456经过MD5加 密以后的密文是“e10adc3949ba59abbe56e057f20f883e”,这个密文就代表了“123456”,于是就有人把常用密码先经过 MD5加密,拿数据库中保存的密文与手里的密文库做对比,如果有相同的,说明这个密码就是该密文对应的那个字符串。

2、银行密码不可能被暴力破解

暴力破解的成功有两个前提,时间足够长、速度足够快,这两个条件是互为因果,但还有一个更重要的前提是,要有足够多的试错机会。

银行正是从这方面下手来防止密码被暴力破解,所以很多银行都设置了密码试错次数不超过3次,超过3次账户就要被临时锁定,如果锁定次数过多,账户就会被长期锁定,想解锁就需要带身份证去柜台解锁。

只要没有足够多的试错机会,纯数字密码是安全的,即使这个密码只有6位。

3、密文上也无法下功夫

破 解密码的另一种方式刚才也说了,破解密文,不过破解密文的前提是得能拿到密文,也就是说,得能先黑得进去银行的数据库。这可不是一般人能做得了的,数据库 服务器肯定不能与提供服务的服务器放在一起,这种物理隔绝是系统架构师最基本的能力。接触数据库服务器人员限制得是必须的吧,在接触的过程中全程记录得是 必须的吧?这种连坤鹏论都能想到的方法,怎么可能没有一个很好的防范机制呢?

无法暴力破解,又无法从密文上下功夫,那这个密码的安全性也还是说得过去的。

4、6位密码有原因

数据安全倍受重视也不是与生俱来的,也都是随着计算机运算速度的提高,随着不断有更多密码被破解而慢慢受到重视的。

但银行使用计算机可是很早的,所以在早期时设置纯数字密码也并没有被认为不安全。纯数据密码显而易见的好处是通用性强且容易记忆。

因为不了错试几次便不能再试的机制,暴力破解密码这种方式在破解银行密码方面就没有用武之地,所以密码是纯数字还是字母+数字+特殊字符在密码层面就显得没有太大意义。

至于密文的保存,不管保存机制是否安全,都与密码本身关系不大。

当然了,银行对于密文的保存,用脚指头也能想出来,肯定是非常严格的。

有 些人认为,延续使用纯数字密码还有一方面考虑是硬件成本,因为如果要换成字母+数字的话,不仅银行柜台要改密码输入器,ATM机的输入键也需要更换,坤鹏 论认为,这并不是延续使用纯数字密码的原因,至少不是主要原因。能像键盘输入键排列这种美丽错误且还能一直延续使用几十年的并不多,在与钱打交道的行业 里,安全才是第一位的。

5、UKEY及证书更安全

随着互联网和移动互联网的发展,越来越多的银行开始使用UKEY和证书,将密码与硬件相结合,这种情况下,就算其他人拿到密码而没有UKEY,也无法完成支付。相比与将密码设置的更复杂,使用UKEY这种方式安全性更强。有了这种方法,密码是纯数字也就不那么重要了。



义乌奥美电脑 技术咨询

发表评论

Go