4000-169-679

首頁(yè)>行業(yè)資訊 >FPC廠之銀行卡為什么只能設(shè)置六位數(shù)的密碼?

FPC廠之銀行卡為什么只能設(shè)置六位數(shù)的密碼?

2018-03-17 05:17

  FPC廠認(rèn)為銀行使用純數(shù)字密碼不安全,是基于暴力破解的結(jié)論上形成的印象,所謂暴力破解,就是把所有字符進(jìn)行排列組合,然后當(dāng)成密碼去試,暴力破解被認(rèn)為是一種無(wú)所不能的破解方式。

  確實(shí),理論上只要計(jì)算機(jī)速度足夠快,時(shí)間足夠長(zhǎng),沒(méi)有暴力破解方法破解不了的密碼,這也是為什么很多網(wǎng)站都要求用戶設(shè)置密碼要包括數(shù)字、大小寫字母和特殊符號(hào)的原因,密碼越復(fù)雜,暴力破解需要的時(shí)間就越長(zhǎng)。

1、暴力破解怎么解

  密碼破解這個(gè)事情呀,最有效的方法是將數(shù)據(jù)庫(kù)down下來(lái),把保存密碼的表讀出來(lái),這也是很多網(wǎng)站用戶名密碼失竊的主要途徑。后來(lái)為了防止密碼因?yàn)榇娣琶艽a數(shù)據(jù)庫(kù)泄露而泄露,專門對(duì)密碼進(jìn)行了加密,相應(yīng)的就出現(xiàn)了破解加密方式的破解,目前針對(duì)密碼加密最好的方式是MD5,是一種不可逆的加密方式,這也是越來(lái)越多網(wǎng)站及密碼保存開始使用的方法。暴力破解之所以可以破解MD5加密是因?yàn)樗皇菑拿芪南率值?,而是不斷的試不同密碼。暴力破解一個(gè)簡(jiǎn)單方法是字典破解,就是收集大量用戶最常用的密碼,然后先試這些密碼,比如123456、123qwe等等,這也是很多網(wǎng)站提示密碼不能太簡(jiǎn)單的原因。另一種方式是撞庫(kù),因?yàn)榇蠹叶贾烂艽a最常用的加密方式是MD5,但MD5是不可逆的,但同樣密碼經(jīng)過(guò)MD5加密出來(lái)的密文是相同的,比如密碼123456經(jīng)過(guò)MD5加密以后的密文是“e10adc3949ba59abbe56e057f20f883e”,這個(gè)密文就代表了“123456”,于是就有人把常用密碼先經(jīng)過(guò)MD5加密,拿數(shù)據(jù)庫(kù)中保存的密文與手里的密文庫(kù)做對(duì)比,如果有相同的,說(shuō)明這個(gè)密碼就是該密文對(duì)應(yīng)的那個(gè)字符串。

2、銀行密碼不可能被暴力破解

http://p3.pstatp.com/large/216e00090ecd2f943cca

  暴力破解的成功有兩個(gè)前提,時(shí)間足夠長(zhǎng)、速度足夠快,這兩個(gè)條件是互為因果,但還有一個(gè)更重要的前提是,要有足夠多的試錯(cuò)機(jī)會(huì)。

  銀行正是從這方面下手來(lái)防止密碼被暴力破解,所以很多銀行都設(shè)置了密碼試錯(cuò)次數(shù)不超過(guò)3次,超過(guò)3次賬戶就要被臨時(shí)鎖定,如果鎖定次數(shù)過(guò)多,賬戶就會(huì)被長(zhǎng)期鎖定,想解鎖就需要帶身份證去柜臺(tái)解鎖。

  只要沒(méi)有足夠多的試錯(cuò)機(jī)會(huì),純數(shù)字密碼是安全的,即使這個(gè)密碼只有6位。

3、密文上也無(wú)法下功夫

  破解密碼的另一種方式剛才也說(shuō)了,破解密文,不過(guò)破解密文的前提是得能拿到密文,也就是說(shuō),得能先黑得進(jìn)去銀行的數(shù)據(jù)庫(kù)。這可不是一般人能做得了的,數(shù)據(jù)庫(kù)服務(wù)器肯定不能與提供服務(wù)的服務(wù)器放在一起,這種物理隔絕是系統(tǒng)架構(gòu)師最基本的能力。接觸數(shù)據(jù)庫(kù)服務(wù)器人員限制得是必須的吧,在接觸的過(guò)程中全程記錄得是必須的吧?這種連坤鵬論都能想到的方法,怎么可能沒(méi)有一個(gè)很好的防范機(jī)制呢?

  無(wú)法暴力破解,又無(wú)法從密文上下功夫,那這個(gè)密碼的安全性也還是說(shuō)得過(guò)去的。

4、6位密碼有原因

http://p3.pstatp.com/large/216e0009107bcdcb47e5

  數(shù)據(jù)安全倍受重視也不是與生俱來(lái)的,也都是隨著計(jì)算機(jī)運(yùn)算速度的提高,隨著不斷有更多密碼被破解而慢慢受到重視的。

  但銀行使用計(jì)算機(jī)可是很早的,所以在早期時(shí)設(shè)置純數(shù)字密碼也并沒(méi)有被認(rèn)為不安全。純數(shù)據(jù)密碼顯而易見(jiàn)的好處是通用性強(qiáng)且容易記憶。

  因?yàn)椴涣隋e(cuò)試幾次便不能再試的機(jī)制,暴力破解密碼這種方式在破解銀行密碼方面就沒(méi)有用武之地,所以密碼是純數(shù)字還是字母+數(shù)字+特殊字符在密碼層面就顯得沒(méi)有太大意義。

  至于密文的保存,不管保存機(jī)制是否安全,都與密碼本身關(guān)系不大。

  當(dāng)然了,銀行對(duì)于密文的保存,用腳指頭也能想出來(lái),肯定是非常嚴(yán)格的。

  有些人認(rèn)為,延續(xù)使用純數(shù)字密碼還有一方面考慮是硬件成本,因?yàn)槿绻獡Q成字母+數(shù)字的話,不僅銀行柜臺(tái)要改密碼輸入器,ATM機(jī)的輸入鍵也需要更換,坤鵬論認(rèn)為,這并不是延續(xù)使用純數(shù)字密碼的原因,至少不是主要原因。能像鍵盤輸入鍵排列這種美麗錯(cuò)誤且還能一直延續(xù)使用幾十年的并不多,在與錢打交道的行業(yè)里,安全才是第一位的。

5、UKEY及證書更安全

http://p3.pstatp.com/large/216e00091050bd43fd6b

  隨著互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的發(fā)展,越來(lái)越多的銀行開始使用UKEY和證書,將密碼與硬件相結(jié)合,這種情況下,就算其他人拿到密碼而沒(méi)有UKEY,也無(wú)法完成支付。相比與將密碼設(shè)置的更復(fù)雜,使用UKEY這種方式安全性更強(qiáng)。有了這種方法,密碼是純數(shù)字也就不那么重要了。

 

網(wǎng)友熱評(píng)