國內銀行的銀行借記卡的密碼一般是怎樣進行加密的?容易被破解嗎?
容易破解嗎?微博上傳的銀行卡密碼泄漏是假的吧。http://weibo.com/1659643027/xEfKG4t9J
瘦腰,除非你開發過三家以上的銀行系統,我想你才能說「一般」是怎樣進行加密的。所以我想我還沒有資格說出「一般」怎樣進行加密。
但是我恰好知道有一家銀行是怎麼加密的(具體不點名了,原因大家懂的),那就是:明文存儲密碼。
要是多說幾句:我感覺銀行系統的安全性,在於你究竟更新過幾次系統,並且最近一次更新是在什麼時候。。。因為銀行的軟體業,歷史上是走在大多數行業的軟體前面的,換句話說銀行進行信息化管理可能比很多其他行業都更早。 ——而在早期,幾乎所有的程序員都使用明文存儲密碼。畢竟那時很多人就沒有這個概念。——而同時,這些程序員的 BOSS,要求他們明文存儲密碼也非常正常。
但需要注意的是,銀行密碼即使 hash 或者 salt 過,其安全程度也不高,因為銀行密碼是 6 位 純數字,僅僅只有百萬種組合,對於這樣的低強度密碼,即使使用不可逆加密演算法來存儲,破解起來也只需要幾秒的時間。因此銀行密碼用簡單的加密演算法來存儲可能根本沒有意義,必須使用更複雜的方法來加密才行。
同時我們從另一個角度來說,對銀行來看,用戶的錢並不是真實存在的,而僅僅是資料庫裡面的一條數據,所以,為了竊取用戶的錢,完全不需要知道任何用戶的密碼,只需要資料庫中的一條 SQL 語句就行。。。因此,事實上用戶的密碼對銀行內部人員來說也並不重要。
如果在此後需要更換重新開發的新系統時,一般信息產業就已經發展到新高度了,此時做新系統會請些架構師規劃一下,會請一些人來評估一下技術之類,那麼新開發,新升級的系統,往往就可能具有更好的安全性。這裡面名堂就多了。
因為工作關係,接觸過銀行的密碼機,並不了解銀行核心系統中的加密機制,但從外圍來看,這幾個方面吧: 1,規範 銀行業規範是比較嚴的,尤其加入銀聯組織的銀行還要遵循銀聯的標準。首先密碼不能明文存儲是肯定的。有熟悉規範的朋友可以再補充下。 2,銀行
用戶最終的密碼存儲在銀行,密碼是加密存儲的,用戶設置密碼的時候,通過銀行網點或者ATM終端的密碼鍵盤設置,密碼鍵盤有密鑰,傳輸過程是加密的。
加密強度估計不會太高,因為銀行系統要求穩定性,技術一般不新。 3,銀聯 所有加入銀聯的銀行機構都需要建設銀聯認證系統,包括幾個密碼機和軟體模塊,這樣用戶在有銀聯標誌的ATM上取款的時候,密碼首先被ATM所屬銀行轉到銀聯,再到開卡行進行密碼認證。 而所有這些過程都是加密的。當然銀聯的這個標準只能保證密碼在網路傳輸過程中是加密的,並不涉及到銀行內部用戶的密碼存儲或管理。
4,卡 卡號存儲在磁條卡上,同一個銀行的磁條卡用了密鑰把卡號注入到卡中,所以如果單純得到了卡號和密碼,要製作能取錢的銀行卡,還要知道銀行的這個密鑰。 當然網上支付除外,所以網上支付限額還是比較低的。5,管理
銀行對於密碼一般都有重試次數,密碼重試3次或者5次就會被鎖定,這樣雖然卡密碼只有6位數字,從外部重試密碼來破解口令是不可能的,除非能夠繞過這個重試限制,這應該只有銀行內部人才能辦到。銀行對核心資料庫的管理想來是非常嚴格的, 數據都集中了,除了很多小銀行,比如城商行。 法律方面,這個不用說,別說偷密碼,就是ATM上撿到錢都犯法。 6,第三方平台 上面的朋友說第三方平台泄露密碼,我覺得是不太可能的,第三方平台是接觸不到用戶的密碼的,認證的時候也是直接在銀行提供的認證終端或頁面上認證,第三方平台拿不到。拿到也肯定是加密的。 對於個人來說,盡量不要多個銀行卡使用一個密碼,不同的銀行管理著自己的用戶密碼庫,有的小銀行安全措施少,內部容易泄密。但銀行卡太多了,使用不一樣的密碼是個災難。我自己就是所有的銀行卡用同一個密碼,沒錢就什麼都不怕,呵呵。1. 如果這些信息真的被泄露了,會造成什麼影響?銀行卡被盜刷,或者二磁信息被拷貝製造了假卡,這兩種情況再加上你知道密碼,會造成損失。所以這個問題的關鍵是你知道了密碼,你有卡片嗎? 如果你也有卡片,那麼這張卡就毫無疑問會被盜刷了。如果你沒有卡片,需要造假卡,假卡的磁軌信息需要CVV值,在那個微博里,我似乎沒有看到CVV值,而且似乎也沒有CVK 密鑰,所以,造偽卡有難度。 以上兩種情況是有卡消費,如果是無卡消費,危險性會高,但是一般都有限額控制。2. 銀行PIN(密碼)機制銀行對於PIN的管理還是比較嚴的。對於PIN可能通過的不同網路都有加密。從收單到卡組織中轉到發卡行網路都會有加密,而且加密密鑰都是不同的,在發卡行內部系統中,密碼一般也不會明文放置。密碼加密演算法一般遵循ISO標準。除非你知道密碼 ,如果只是嘗試,多辦沒希望,因為嘗試多過三次,你的卡會被鎖定。
假定在網路上加密後的信息被第三方捕獲,由於加密演算法是公開的,所以可以還成原文,雖然原文的密碼還是加密的無法破解,但是如果第三方用加密後的密碼信息重新構造報文,然後發到銀行竊取呢? 這種情況是如何處理
推薦閱讀:
※在ATM機上存錢未被記賬,銀行處理流程是否合理合法,依據是什麼法規,不計息是否合法合理?
※為什麼國外的銀行卡可以直接輸安全碼付款而國內不行?
※visa在國內賺錢嗎?
※為什麼銀行卡補辦必須要先掛失再補辦?
※去加拿大留學怎麼辦銀行卡?