國內銀行的銀行借記卡的密碼一般是怎樣進行加密的？容易被破解嗎？

01-20

容易破解嗎？微博上傳的銀行卡密碼泄漏是假的吧。http://weibo.com/1659643027/xEfKG4t9J

瘦腰，除非你開發過三家以上的銀行系統，我想你才能說「一般」是怎樣進行加密的。所以我想我還沒有資格說出「一般」怎樣進行加密。

但是我恰好知道有一家銀行是怎麼加密的（具體不點名了，原因大家懂的），那就是：明文存儲密碼。

要是多說幾句：我感覺銀行系統的安全性，在於你究竟更新過幾次系統，並且最近一次更新是在什麼時候。。。因為銀行的軟體業，歷史上是走在大多數行業的軟體前面的，換句話說銀行進行信息化管理可能比很多其他行業都更早。 ——而在早期，幾乎所有的程序員都使用明文存儲密碼。畢竟那時很多人就沒有這個概念。——而同時，這些程序員的 BOSS，要求他們明文存儲密碼也非常正常。

但需要注意的是，銀行密碼即使 hash 或者 salt 過，其安全程度也不高，因為銀行密碼是 6 位純數字，僅僅只有百萬種組合，對於這樣的低強度密碼，即使使用不可逆加密演算法來存儲，破解起來也只需要幾秒的時間。因此銀行密碼用簡單的加密演算法來存儲可能根本沒有意義，必須使用更複雜的方法來加密才行。

同時我們從另一個角度來說，對銀行來看，用戶的錢並不是真實存在的，而僅僅是資料庫裡面的一條數據，所以，為了竊取用戶的錢，完全不需要知道任何用戶的密碼，只需要資料庫中的一條 SQL 語句就行。。。因此，事實上用戶的密碼對銀行內部人員來說也並不重要。

如果在此後需要更換重新開發的新系統時，一般信息產業就已經發展到新高度了，此時做新系統會請些架構師規劃一下，會請一些人來評估一下技術之類，那麼新開發，新升級的系統，往往就可能具有更好的安全性。這裡面名堂就多了。

因為工作關係，接觸過銀行的密碼機，並不了解銀行核心系統中的加密機制，但從外圍來看，這幾個方面吧：

1，規範

銀行業規範是比較嚴的，尤其加入銀聯組織的銀行還要遵循銀聯的標準。首先密碼不能明文存儲是肯定的。有熟悉規範的朋友可以再補充下。

2，銀行

用戶最終的密碼存儲在銀行，密碼是加密存儲的，用戶設置密碼的時候，通過銀行網點或者ATM終端的密碼鍵盤設置，密碼鍵盤有密鑰，傳輸過程是加密的。

加密強度估計不會太高，因為銀行系統要求穩定性，技術一般不新。

3，銀聯

所有加入銀聯的銀行機構都需要建設銀聯認證系統，包括幾個密碼機和軟體模塊，這樣用戶在有銀聯標誌的ATM上取款的時候，密碼首先被ATM所屬銀行轉到銀聯，再到開卡行進行密碼認證。

而所有這些過程都是加密的。

當然銀聯的這個標準只能保證密碼在網路傳輸過程中是加密的，並不涉及到銀行內部用戶的密碼存儲或管理。

4，卡

卡號存儲在磁條卡上，同一個銀行的磁條卡用了密鑰把卡號注入到卡中，所以如果單純得到了卡號和密碼，要製作能取錢的銀行卡，還要知道銀行的這個密鑰。

當然網上支付除外，所以網上支付限額還是比較低的。

5，管理

銀行對於密碼一般都有重試次數，密碼重試3次或者5次就會被鎖定，這樣雖然卡密碼只有6位數字，從外部重試密碼來破解口令是不可能的，除非能夠繞過這個重試限制，這應該只有銀行內部人才能辦到。銀行對核心資料庫的管理想來是非常嚴格的，

數據都集中了，除了很多小銀行，比如城商行。

法律方面，這個不用說，別說偷密碼，就是ATM上撿到錢都犯法。

6，第三方平台

上面的朋友說第三方平台泄露密碼，我覺得是不太可能的，第三方平台是接觸不到用戶的密碼的，認證的時候也是直接在銀行提供的認證終端或頁面上認證，第三方平台拿不到。拿到也肯定是加密的。

對於個人來說，盡量不要多個銀行卡使用一個密碼，不同的銀行管理著自己的用戶密碼庫，有的小銀行安全措施少，內部容易泄密。但銀行卡太多了，使用不一樣的密碼是個災難。我自己就是所有的銀行卡用同一個密碼，沒錢就什麼都不怕，呵呵。

1. 如果這些信息真的被泄露了，會造成什麼影響？

銀行卡被盜刷，或者二磁信息被拷貝製造了假卡，這兩種情況再加上你知道密碼，會造成損失。所以這個問題的關鍵是你知道了密碼，你有卡片嗎？如果你也有卡片，那麼這張卡就毫無疑問會被盜刷了。如果你沒有卡片，需要造假卡，假卡的磁軌信息需要CVV值，在那個微博里，我似乎沒有看到CVV值，而且似乎也沒有CVK 密鑰，所以，造偽卡有難度。以上兩種情況是有卡消費，如果是無卡消費，危險性會高，但是一般都有限額控制。

2. 銀行PIN（密碼）機制

銀行對於PIN的管理還是比較嚴的。對於PIN可能通過的不同網路都有加密。從收單到卡組織中轉到發卡行網路都會有加密，而且加密密鑰都是不同的，在發卡行內部系統中，密碼一般也不會明文放置。

密碼加密演算法一般遵循ISO標準。除非你知道密碼，如果只是嘗試，多辦沒希望，因為嘗試多過三次，你的卡會被鎖定。

假定在網路上加密後的信息被第三方捕獲，由於加密演算法是公開的，所以可以還成原文，雖然原文的密碼還是加密的無法破解，但是如果第三方用加密後的密碼信息重新構造報文，然後發到銀行竊取呢？這種情況是如何處理