銀行卡的密碼數據信息是保存在卡裡面還是銀行資料庫?
01-05
今天看到一則新聞,用銀行卡複製機,提出來銀行卡的信息,包括密碼,複製到新的空卡里。簡直和單片機燒錄一樣。且不論新聞真假性,我覺得能把銀行卡卡號之類信息提取燒錄我能理解,為什麼密碼這樣的信息也是直接存儲在卡裡面的?這樣也太不安全了吧,還是另有別的原因?
ps:搜問題是看到一句話說是東野圭吾在小說里說過,早期的銀行卡密碼是存儲在卡里的,難道中國現在用的還是日本早期的卡嗎?望解答。
現在密碼顯然不存在卡里。
很久、很久以前的卡確實是存在卡里的。但是這種卡根本就沒進過中國。
歷史原因是,磁條卡出現早於互聯網進入商用領域。沒有網路的時候,怎麼驗證密碼呢?只好存在磁條里了。當時讀取磁條還屬於高技術活(沒多少人知道磁條就是磁帶,知道的也不知道如何複製這麼寬的磁帶),所以當時也很安全。不過即便現在,銀行卡本身的信息,包括卡號有效期等等,確實是都明碼存在卡里的。因為這些信息反正有你的卡了基本上就等於有了,也就沒什麼必要遮遮掩掩。磁條只是一種方便機器讀取的方式。IC卡里的信息現在基本都是加密的。ATM行業從業者答一下
銀行卡密碼存在行里核心資料庫中,有加密。ATM上的密碼鍵盤是有固定加密演算法,根據主密鑰去生成,核心有解密的演算法,可以和你真實密碼匹配。這裡說的銀行卡應該只是指金融應用吧。
首先銀行卡包括早期的磁條卡回後來的cpu卡。磁條卡的數據保存在磁條里,這些數據是不包含密碼的。
cpu卡的密碼分類包括1 、持卡人輸入校驗的密鑰,就是pin。pin包括聯機pin和離線pin。其中聯機pin的值是保存在銀行後台的存儲介質里的,如果執行大額交易或者對卡片進行寫數據操作(比如修改餘額、修改餘額上限、修改持卡人姓名等、修改離線pin),那麼可能就需要用到聯機pin,執行校驗聯機pin的時候,終端發送聯機pin給銀行後台主機,不發送指令給卡片。離線pin是在網路不可用的情況下可能用到的校驗方式,這個pin值是保存在卡片的可擦寫rom里的,需要校驗pin的時候終端直接發送校驗pin指令給卡片,如果校驗成功,卡片,返回9000狀態,如果校驗失敗,卡片返回63Cx狀態,在這個過程中,沒有銀行後台的參與。2、用於加密和簽名運算的密鑰,包括3des對稱密鑰,和rsa非對稱密鑰,前者用於計算密文,用來檢查終端,機是否是合法的。後者用於對交易相關的數據執行簽名運算髮送給終端機,用來證明卡片是合法的卡片,是來自發卡行的卡片,而不是複製、偽造的卡片。
晶元卡的密鑰是不可讀取的,因此晶元卡不像磁條卡那樣容易複製。
題主說的應該是那種不支持rsa密鑰運算的晶元卡,這種卡很容易。如果是支持動態簽名的卡片,如果不是開發者預留後門,事實上不可複製。看的《白夜行》吧,以前可能是這樣的,但是現在密碼都是保存在銀行的主機里,而且是加密保存的。每次取錢都會聯機認證密碼。
複製銀行卡的,都是在取款機上裝個讀卡器,同時會偷偷裝一個攝像頭,對準密碼鍵盤。通過按鍵來獲取密碼的。不過銀行也升級了取款機,比如在插卡口安裝防複製裝置,鍵盤上方加一個遮擋罩。
而且咱們國家正在逐漸更換晶元卡代替磁條卡,晶元卡更加安全。更加難以破解和複製。肯定不在卡片中另外,我認為這個加密是不可逆加密,比如sha-1加密,但是肯定升級了,存入資料庫的也是加密後的內容,這就是即使你看見了資料庫的內容也根本不知道原密碼是什麼 ,只有持有原密碼的人才能使用
最近在做銀聯後台相關,銀行卡現在有三種,磁條卡、晶元卡、非接卡。其中一般現在都是一張卡裡面都帶有磁條、晶元和非接。磁條卡很不安全,磁帶內的數據可以由外部的磁卡讀卡器自由讀取,可以被複制。晶元卡也稱IC卡,內部有cpu、rom等,相當於一台微型計算機,外部設備可以與IC卡通信,獲取卡片相關信息(卡號、有效期、貨幣代碼等),但是IC卡無法複製(至少目前是這樣),因為IC內部數據加密,應用程序固化在rom中。IC卡的驗證也比磁條卡更加嚴格,IC卡會發送ARQC到後台,後台通過計算驗證,給IC回一個ARPC,IC卡經過驗證後,才會批准交易。這個過程數據無法偽造,所以很安全。關於非接卡也類似,具體還未深入了解。所以磁條卡很不安全,但是也沒有複製了卡就會被盜刷的情況,盜刷還是需要用戶的密碼,有種改裝pos可以獲取用戶輸入時的密碼,當然這也和銀行卡無關了。
是明文印在卡片上的。就是卡號,到期日期,CVV2和持卡人簽名。
推薦閱讀:
※LastPass 安全嗎?
※Android 應用有哪些常見,常被利用的安全漏洞?
※OpenSSL 的 Heartbleed 漏洞的影響到底有多大?
※美國 NSA 方程式組織(Equation Group)爆出的事件,將會造成哪些影響?
※NPAPI 為什麼會被 Chrome 禁用?受影響的網站有什麼普遍性?