本文目录一览:
银行卡的密码为什么是六位数?被破译的几率太大ma ?
银行卡我们都会用,但是有没有人想过,为什么密码只用六位,而且全用数字呢?如果被别人破译了怎么办?要明白其中的道理,首先我们来看一个法则,即“7±2法则”,它是由美国认知心理学家乔治·A·米,于1956年发表在《心理学评论》上的一篇重要论文。该论文指出,年轻人的记忆广度大约为7个单位(阿拉伯数字、字母、单词或其他单位,称为组块),也就是说,如果达到7个及以上大部分人就很难对其短时记忆(如果是年龄稍大的就很难说了),因此从记忆力上来说6位是最符合短时记忆的。
银行采用6位短时记忆,是有一定道理的。首先,持卡人忘记单个数字的概率是一样的,密码的位数越多,错误的可能性越大。如果加大密码位数的话,持卡人输错密码的概率会增加(在目前三次密码试错之后,就必须到柜台进行办理,这样每天到银行办理密码挂失的人超过办理其他正常业务的人,这会使得其他业务得不到正常办理),这样重新输入密码乃至银行解锁都会降低效率。这说明密码的位数不能太长,但是也不能太短,否则试对的可能性很高。每增加一位数字,其试对的可能性为前次的十分之一。从记忆上来说,6位是最符合的。
下面说下,为什么选择全部数字,不用字母或者其他符号。
1)全部使用数字已经足够。其实,使用全数字密码(简单密码)与其他复杂组合作为密码(复杂密码)的区别,主要是在抗暴力破解方面的优势。我们会想,现在计算能力如此高的情况下,不够长的纯数字密码几乎不起计算机的暴力破解,而包含字母、标点符号的密码抗暴力破解的能力大大增加。但是,有一点你要相信,在银行系统、 ATM 、电话银行等等方面你是无法进行暴力破解的(涉及安全性,原理后面说)。所以,复杂密码几乎不被认可。且现在网络银行,因为使用各种认证方式的配合,你也是无法进行暴力破解的(后面说明)。
2)选择全部数字作密码是历史原因决定的。在早期,整个银行系统计算和存储性能很有限,高昂的计算机成本导致提供复杂密码的成本太高。且在国外很多支付情况下对密码的依赖性不高,很多时候是靠签、复写等等方式即可满足需求。
3)越简单的密码输入设备,越能适配更多的系统和设备。选择全部数字作为密码,可以更好的延伸至电话、手机等等简单设备的输入支持,可以实现电话银行等功能。并且,使用纯数字密码,如果持卡人发现密码泄漏,就可在很短的时间内通过电话银行将其修改。
4)选择全部数字作为银行密码,大大降低设备的输入设备成本。设想一个包含字母、符号、数字的全键盘成本高,还是简单的数字键盘成本高。特别是在 ATM 等等设备上,这样不同的输入设备的价格差距更大。
下面,我们从安全方面分析为什么不可被破译。在银行的密码安全中,密码保密不仅是通过计算机密码算法来保密,而且是通过更可靠的保密制度来保密的。也就是说,银行把密码在银行的安全性,寄托在密文不被窃取的前提下(当然,这通常和互联网部分人所认为的不一样)来保密的。我们都知道,在大多数ATM中,只有数字键盘,10个字母,就算到10位长度,也不过100亿个组合,对于离线攻击来说,照样是小case。所以,当银行在技术上无法做到对抗离线攻击的时候,就只能用可靠的保密制度了:
1)、银行中只有极少数人能直接接触储户密码(密文),而这些人的身份和操作全部会被记录在案,就算离职,这些信息也不会被清除。
2)、涉及存储及使用这些信息的电脑网络物理隔离,操作终端摄像头全程监控(别想着抄下来),并且我们知道,银行使用的网络是专用的。
3)、攻击银行或者金融机构是属于犯罪行为,刑罚上不封顶(最高无期徒刑或者死刑)。
4)、高科技犯罪,没几个能玩,也没几个敢玩(一经发现,公安部直接全国乃至全球通缉)。因为,全世界都有银行,一但有一案件出现,将是全球支持的。而且没有几个扛得住层出不穷的审讯手法的。
5)、银行内部还预留部分资金以避免一但被窃无法追回后赔偿储户(一但攻击,储户能得保障)。
随着社会的发展,银行也与互联网链接实现网上银行等便利。我们都知道,在银行专网(ATM或者银行网点等)内使用全数字密码是可靠的。但一但与互联网相连后,单靠输入全数字密码来验证身份就不行了,必须要有一整套的安全措施来保障交易的安全,这就是USB Key。那么USB Key又是怎么保证的呢。
从技术角度看,U盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,基于PKI技术,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。它设备虽然小巧,但技术含量极高。该产品采用了目前国际领先的信息安全技术,核心硬件模块采用智能卡CPU芯片,内部结构由CPU及加密逻辑、RAM、ROM、EEPROM和I/O五部分组成,是一个具有安全体系的小型计算机。除了硬件,安全实现完全取决于技术含量极高的智能卡芯片操作系统COS,该操作系统就象DOS、WINDOWS等操作系统一样,管理着与信息安全密切相关的各种数据、密钥和文件,并控制各种安全服务。USBKey 具有硬件真随机数发生器,密钥完全在硬件内生成,并存储在硬件中,能够保证密钥不出硬件,硬件提供的加解密算法完全在加密硬件内运行。下面介绍下相关知识。
(一)、U盾的安全措施
1)、硬件PIN码保护
U盾采用了使用以物理介质为基础的个人客户证书,建立基于公钥PKI技术的个人证书认证体系(PIN码)。黑客需要同时取得用户的U盾硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码泄露,U盾没有丢失,合法用户的身份就不会被仿冒,如果用户U盾丢失,其他人不知道用户的PIN码,这也是无法假冒合法用户的身份。
2、安全的密钥存放
U盾的密钥存储于内部的智能芯片中,用户无法从外部直接读取,对密钥文件的读写和修改都必须由U盾内部的CPU调用相应的程序文件执行,从而U盾接口的外面,没有任何一条指令能对密钥区的内容进行读取、修改、更新和删除,这样可以保证黑客无法利用非法程序修改密钥。
3)、双密钥密码体制
为了提高交易的安全,U盾采用了双钥密码体制保证安全性,在U盾初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,密钥可以导出到U盾外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,凡是有私参与的密码运算只在芯片内部即可完成,全程私钥可以不出U盾介质,从而来保证以U盾为存储介质的数字证书认证在安全上无懈可击。
4)、硬件实现加密算法
U盾内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在U盾内进行,保证了用户密钥不会出现在计算机内存中。
(二)、U盾进行银行和持卡人身份的双向认证
1)、基于冲击-响应认证模式USB Key内置单向散列算法(RSA),预先在USB Key和服务器中存储一个证明用户身份的密钥,当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数回传给PC上插着的USBKey,此为“冲击”。USB Key使用该随机数与存储在USBKey中的密钥进行RSA运算得到一个运算结果作为认证证据传送给服务器,此为“响应”。
与此同时,服务器使用该随机数与存储在服务器数据库中的该持卡人密钥进行RSA运算,如果服务器的运算结果与持卡人传回的响应结果相同,则认为客户端是一个合法用户。
2)、基于PKI的数字证书的认证式PKI(Public Key Infrastructure)即公共密钥体系,即利用一对互相匹配的密钥进行加密、解密。一个公共密钥(公钥,public key)和一个私有密钥(私钥,private key)。其基本原理是:由一个密钥进行加密的信息内容,只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者,私钥则需要十分安全地存放起来。每个用户拥有一个仅为本人所掌握的私钥,用它进行解密和签名;同时拥有一个公钥用于文件发送时加密。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。冲击响应模式可以保证用户身份不被仿冒,但无法保证认证过程中数据在网络传输过程中的安全。
而基于PKI的“数字证书认证方式”可以有效保证用户的身份安全和数据传输安全。数字证书是由可信任的第三方认证机构——数字证书认证中心(Certficate Authority,CA)颁发的一组包含用户身份信息(密钥)的数据结构,PKI体系通过采用加密算法构建了一套完善的流程,保证数字证书持有人的身份安全。而使用USB Key可以保障数字证书无法被复制,所有密钥运算在USB Key中实现,用户密钥不在计算机内存出现也不在网络中传播,只有USBKey的持有人才能够对数字证书进行操作,安全性有了保障。由于USB Key具有安全可靠,便于携带、使用方便、成本低廉的优点,加上PKI体系完善的数据保护机制,使用USB Key存储数字证书的认证方式已经成为目前主要的认证模式。
最后说明一下,不管安全措施如何完善,懂得安全知识才是最安全的,为此,给出以下建议。为了确保您的资金安全,建议您在日常生活和使用各类网络服务过程中,都要注意以下情况,谨防被别有用心的诈骗分子利用:
1)、预留的手机号码是核实您身份的重要工具。切勿将在银行办理业务时预留的手机号码设成他人的手机号码;
2)、切勿轻易将自己的Key盾、Key令交给他人使用,也不要将Key令的动态口令、银行发送的短信动态验证码透露给他人;
3)、切勿轻易向他人透露自己的身份信息和银行信息:包括银行账号、证件号码、网银/手机银行登录名、绑定银行卡或网银的手机号码、银行卡背后的三位数字、信用卡有效期等;
4)、切勿轻易向他人透露自己的各类密码,包括银行卡密码、存折密码、网银密码、手机银行密码等;
5)、如果有人通过电话、通讯软件服务(例如QQ、微信、旺旺、微博私信、论坛短信等)向您索要上述信息或安全认证工具,或将他人手机号码设置为您在银行办理业务时绑定的手机号码,请务必慎防诈骗,需妥善保管好个人资料,严防泄露;
6)、如遇到有人通过电话、通讯软件服务向您推荐所谓“内部关系办理信用卡”、“内部关系办理贷款”或各种优惠条件特别诱惑的业务等不正常的银行服务,请不要办理。如需办理信用卡、贷款等银行业务,请移步到银行网点或联系客服热线咨询办理;
7)、如有人通过电话或其他方式要求您将钱转到或存入陌生来电指定的账户,需提高警惕,可能是诈骗圈套。
黑客论坛哪个最好最牛啊
梦想黑客联盟最大最权威的黑客学习论坛
本站拥有强大的技术力量,每天更新各种语音教程免费下载
全国首发唯一支持过所有主流及瑞星主动梦想黑客联盟控制软件,。稳定性及优越
现在针对菜鸟每天晚上,免费在线授课
性在国内属于一流控制软件。梦想黑客联盟论坛拥有优秀的免杀团队。彻底解决各主流杀软查杀及主动查杀问题。
[ 或者到我空间有论坛网站地址]
是目前国内唯一最具有过瑞星行为、主动、卡吧、NOD32等变态杀软的主动查杀!梦想黑客联盟论坛
梦想黑客联盟论坛上面主要是以技术为组
梦想黑客联盟初期建站投资24万余元建设黑客论坛开办VIP制教学、
梦想黑客联盟投资1万元作为教程的奖励希望大家踊跃参与
。
免费10G全能空间火爆开放中/无限流量/可绑域名/送MYSQL数据库/
本站拥有强大的技术力量,每天更新各种语音教程免费下载
[ 或者到我空间有论坛网站地址]
梦想黑客联盟推出免费10G美国空间
梦想黑客联盟超强工具包免费下载
要最新的免杀灰鸽子来梦想黑客联盟论坛拿
每天更新免杀,免费下载
详情到我空间有论坛网站地址
黑客技术高超,如果他们从一亿张银行卡中取一分钱,可以不被发现吗?
现在我国发行的银行卡已经达到了几十亿张之多,如果黑客能够每月从每张银行卡中提走1分钱到自己的银行卡上,那每个月就可以获得几千万收益,一年下来就是数亿元的钱了。但是这事想想可以,但是实际上就是不可能实现的事情,黑客一伸手可能就被迅速发现了,立刻就被抓了。
一、转账太频繁
大家想想都知道了,如果一个账户,每个月有几十亿张卡片往里面转钱,那么交易次数一个月下来就达到了几十亿次,这样的交易数量可以说非常惊人。
如果是普通人,一个月交易上百次就算多的了,而谁可能有几十亿次这么大的交易次数,这样的情况,可以说一下子就会引起大数据的注意了,甚至一下子就会引起进一步调查了。
二、银行卡信息极难获得
如果想这样做,从信息获取上来说基本上也无法实现。黑客要这样做,首先就需要盗取全国十多亿人的几十亿张银行卡的信息,包括密码账号等等信息,然后还要费劲巴拉的每个月从每个银行卡上转走一分钱,这么大的信息量,可以说黑客基本上根本就没有办法获取。
现在一些电信诈骗等,如果想获取用户的银行卡账户,都需要打电话,然后费很大的力气,才可能获得一个两个用户的银行账号等信息。而黑客想获取几十亿张银行卡的数据,基本上就是不可能实现了。
三、伸手必被抓
现在肯定是伸手必被抓。现在我国银行信息系统早已经升级了,而且对银行业大数据监控很厉害,只要是账户有异常的情况,就可能被进一步调查。
这样的情况下,如果有黑客想办法获取几个账号的信息,然后从这几个账号上转走一些钱,可能由于交易次数少,可能还不会被立刻发现。但是如果是上百万,上亿甚至数十亿张卡在一个月内向一个银行卡转钱,那么可能立刻就被发现了。因此,现在大数据很厉害,想对几十亿张卡伸手,必被抓。
曾经有个哥们,技术大神,又是银行里面的高管,他利用系统漏洞,把每张卡每个月利息,小数点后面第七位扣下,几个月时间干得20多万,最后被查到判了好多年,一般人能轻易想到的事情,早就有人尝试过了。
综上所述,黑客想每个月从几十亿张银行卡上给自己的账户转一分钱,肯定立刻就被抓了。
黑客是怎么把银行卡跟密码破解
密码破译通常是两种手段:1、不停的扫描式尝试登录,当然这种方式现在不可行的,现在一般密码输错三次都需要验证码验证,这种扫描式破译基本上废了;2、通过技术手段记录下键盘输入的操作轨迹,以技术手段还原操作轨迹路径,从而实现密码破译,这种破译方式是用得比较多的,仅供参考