银行卡的密码只有6位数，他们如何保障数据... | 问答 | 问答 | 果壳网 科技有意思
银行卡的密码只有6位数，他们如何保障数据库中数据的安全？有补充、希望大家理解题目意思...这是计算机题，不是生活题...
看到大家都没有理解我的意思有点遗憾...我的意思是所有数据都要存在数据库里，但是数据库的密码不可能明文保存，否则管理数据库的就可以拿着你的卡号和密码去取钱，你完全没办法。就象各个网站有帐号和密码，但是密码是密文的，数据库管理员拿不到，否则你的帐号就可以被能查看数据库的人任意登陆。就比如果壳网是可以填4位密码的，因为存在数据库里是经过2次加密的。但是银行卡密码就不一样了，只有6位数字，总共才100w次，即使是密文，只要知道加密方法，一眼就知道密码是什么了，找个100w的对应表就行了，很容易。知道了密码和卡号，弄张卡并非难事，因为他还可以拿到你的身份信息。所以怎么保障这些数字的安全？ 如果你有空来答咯～
+ 加入我的果篮
学物理的IT工程师
银行的密码不是通过算法的安全性来保密的，而是通过保密制度来保密的。也就是说，银行把密码在银行的安全性，寄托在密文不被窃取的前提下，这和通常IT网站所认为的不一样。至于为什么，银行也是有苦衷的。因为大多数ATM只有数字键盘，10个字母，就算到10位长度，也不过100亿个组合，对于离线攻击来说，照样是小case。而10位长度的密码，已经超过了很多人（尤其是大爷大妈们）的记忆能力了。所以银行在技术上无法做到对抗离线攻击的时候，就只能用别的办法了：1：银行中只有极少数人能直接接触储户密码（密文），而这些人的身份和操作全部会被记录在案，就算离职，这些信息也不会被清除。2：涉及存储及使用这些信息的电脑网络物理隔离，操作终端摄像头全程监控－－别想着抄下来。3：攻击银行或者金融机构是属于犯罪行为，刑罚上不封顶－－最高死刑。4：因为是犯罪行为，所以公安会介入。按照非官方公安的说法，这些高科技犯罪反而好破－－没几个能玩高科技犯罪的人，可以扛得住层出不穷的审讯手法的。5：银行内部预留部分资金以避免一但被窃无法追回后赔偿储户。
银行挨踢搬砖者
银行科技人员来简略说下吧。1.楼主说的6位密码100万种组合是不准确的。密码存放前的加密算法不是说像md5这样，同一个明文加密出的密文是一样的，而是根据不同的密钥组合来。比如同是密码123456，不同的客户，同一客户不同账号生成的密文密码也是不同，比如可能客户编号和账号就是组合成密钥的一部分，并且这俩可以组成唯一索引，保证不重复。2.所有的存入数据库的密码密文的加密算法至少能保证在当前是不可逆的，不知道算法的情况下就算弄到密文想穷举都没路。3.当前账户依存的介质一般是银行卡等，在银行卡磁道信息里不止包含账号，还有一些校验位，拿到账号密码，没有二磁信息，还是过不去。4.楼上众位说的业务端和制度控制
植物分子生物学博士
密码是六位数，那么用0-9十个数字有100万种组合方式。然后输入3次就被吞卡，那么3次中能猜中一次的概率是1-（1-0.000001）?≈0.000003，就是百万分之3......（概率应该没算错吧？好几年没用过了...）
楼主是想问怎么防止银行后台数据库管理员参与泄露密码？听说是只能通过银行数据安全制度。数据库操作员要经过背景审查并且签署保密协议，并且任何操作都得在多人监控下，所有操作都有日志存档，日志还有专人审计。进出机房都要搜身，防止携带任何数据存储设备。 听说而已，没有亲见。不过每个人的银行账户都自己盯着呢。有人在后台搞小动作会很快被发现并报警，我觉得这一威慑才是银行的安全性保证， 而不是密码或什么强大的算法。所以跟银行往来，自己保留单据也是必须的，免得出了问题银行耍赖。
这个分几个层面。ATM机上，错三次即锁卡，这就有效地杜绝了穷举法。只能猜三次，所以现在银行都不让你用生日等容易猜的密码。查号，现在要求持本人身份证到发卡营业所查询，你的身份证号就是第二个密码。实际上忘了密码并不让你查原密码，只是让你输个新密码，这样即使有人知道你的身份证号并且知道发卡所还得与银行人员串通，改了密码你很容易发现，限定营业所查内鬼也容易。如果是总行的计算机软件编制和维护人员搞鬼是没法拦住的，这只有从制度监管上着手，不过这种人数极少，发现问题也不难查。
輸錯3次就吞卡……來避免窮舉破解
楼主说的明显不成立嘛，有破解密码这功夫还不如拿把刀直接让人把密码说出来容易的多。而且罪名都要小的多。
这个问题显然是问的比较幼稚的，银行的安全是一个体系，一般叫做安全矩阵，这你可以到google上查一下，从银行卡密码安全角度来说，常见的传输过程是用3DES加密的，所有的算法都是公开的，比较标准的做法，密码也不会存在数据库里面，所以你拿到数据库数据也没用，都是在硬件加密设备里面直接比较密文的，密文是在交易的过程中计算的，数据库里面会保存加密的密钥，这你可以看看密码学方面的文章，都是很公开的，但密钥的明文是保密的，这个只有银行里面专门的人才能接触，而且也不是一个人，最少也要双人输入的，而且一旦输入，后面都是系统自动进行，因此即使银行内部人士也没办法知道密码是什么。 l
程序接口安全——对内采用PIN校验和MAC校验 、对外预付费卡系统与客户端的数据传输加密策略 。l
系统登录安全 ——登录名、密码规则 、指定访问地址的控制。l
用户角色控制安全——功能角色配置、控制允许访问的资源l
输入数据的安全检查——页面数据检查 、逻辑处理模块专用的数据检查l
数据库访问的安全——专人创建脚本、连接池的脚本配置、持久层框架的规范，管理员定期修改数据口令、关键数据项加密存放。l
防止网上密码盗用的安全策略——密码出错次数控制、登录随机码机制、非键盘输入机制、上次登陆时间和用户安全提示等。l
IC卡身份识别——用户的身份识别和交易确认。l
系统日志的记录——日志分类设置 、日志多级别设置 、利用Log4j配置技术 。l
转账交易的数字签名——对预付费卡系统关键交易中的关键字段的数字签名。上面列出来的是常见的发卡系统要考虑的安全要素。
首先木有那个傻逼会傻逼到用户信息明文存储的吧，所以你拿不到用户的明文密码。其次银行不会傻逼到将用户密码明文传送验证吧？估计那太傻逼了，所以这也是不可能的。话说，黑客想方设法黑你银行卡还不如路边捡块板砖来的实在。其实最简单的方法就是 建立一个黄色论坛，密码设置成6位数字，然后让其用银行卡实名验证。就会有一些懒蛋用同一种密码，那你不就赚了？
“但是银行卡密码就不一样了，只有6位数字，总共才100w次，即使是密文，只要知道加密方法，一眼就知道密码是什么了，找个100w的对应表就行了，很容易。知道了密码和卡号，弄张卡并非难事，因为他还可以拿到你的身份信息。”1.楼主，即使你有数据库的权限，可以查询到密码对应的密文，也知道加密方法，你是不可能“一眼就知道密码是什么”，因为现在常用的加密的算法就都是从密文到明文的时间复杂度特别大，就是从数学角度上证明了解密需要耗费很多的资源，在一定时间内只知道密文和加密方法，是无法得到明文的。要是你说的这么简单就能破解，研究密码学的都下岗了~~~~建议楼主可以查查RSA，DES，MD5等经典加密算法。2.如果能随意修改密文在后台存储的数据，那么密码安全也得不到保障。所以银行都有严格的制度保障。数据库系统本身也对数据修改有日志记录，以及多种备份等。3.“知道了密码和卡号，弄张卡并非难事，”这个也不太 符合事实。因为银行卡除了卡号，还有其他的信息，如校验信息等等。如果需要复制卡，必须将银行卡磁条中的所有信息都复制了。仅知道卡号是无法复制出一张银行卡的。
“只有6位数字，总共才100w次，即使是密文，只要知道加密方法，一眼就知道密码是什么了，找个100w的对应表就行了”楼主，不是md5（6位密码），而是md5（6位密码+几十上百位的账户不变信息）。。。相当于做加密的“原密码”有上百位，10^100。。。你的反查表需要有9^87个TB。。。如果按现在全球存储容量为1ZB(2^30TB)，这个反查表需要现在全球总存储容量的8.5^78倍。。。
你知道自己的密码，但是你不知道别人的密码
粒子物理博士
卡好好保管,2位密码也没问题. 明文存储, 密码在复杂也没用
有强大的政府威慑力 区区密码算什么
化工学士，学士后
重要的是需要的物理账号——银行卡不是那么容易获得，
科学松鼠会成员，化学博士
我这里银行卡只需要四位密码，一万个组合而已。安全本身是一个系统问题，不能只依靠某一个环节，需要的是制度来维护，同时需要考虑整体成本。在严格遵守制度的前提下，如果使用低成本就可以实现满意的可靠性，那就没必要增加麻烦了。话说信用卡很多还不需要密码呢，签字也很少有人检查。。。
你有6位 淫行后台再给你添加个几十位的密文 就算最简单的MD5加密要破解都不容易 盗号不是黑数据库 最简单的就是钓鱼再补充一点LZ假设都黑进数据库了 给你自己的假帐号添加几千W的钱不是更方便
材料工程在读博士
其实在国外银行账户盗窃挺常见的。不过黑客的主要目标是信用卡和网上银行，然后从每个账户拿走一小笔钱，如果你平时对钱不是特别上心根本不会发现。我一个朋友当时就发现自己银行账户莫名的少了3块多，去银行一问，人家以操作失误为理由把钱补给她就完事了。我估计也被偷了不少次，要没那么细心根本不可能发现。
楼主这么质疑那国外无密码的信用卡岂不是被盗完了？
证券分析师
个人感觉。。。用板砖比用穷举法更有效率
粗暴有效的方法，就是“掌控游戏规则”。给你密码，你去了还跑得了你么？
天文爱好者
因为没有单引号
苦逼铁路员工
如果数据库无法访问，明文又如何？国外付款，需要信用卡号码，有效期，还有一个附加码（印在卡背后）。如果客人投诉，银行会直接把商家的收款冻结掉，商家会完全收不到钱。以前魔兽台服就有很多黑卡，恶意使用信用卡透支买的。最后损失转嫁到商家上，于是大批被封号……
要是总行的数据中心（包括备份的系统）直接让它物理消失了。。靠分行和储户手上的那些零碎的数据，还能恢复得过来么？
本人最近作为一个实习生参与了银行系统的开发，从负责密码机的同事那边了解到加密算法是不可逆的，即使你得到密文和加密算法，你也不能获得明文。但具体的加密算法我还真是不了解，只知道是某一部分是根据卡号加密，另外，在进行交易的时候，前后台加上网络传输的话总共会有3-4次不同算法的加密过程
楼主显然是搞不清楚什么是口令（password），什么是密码，什么是密匙，很多答案也是如此。密码：相对于明码，是指加密后的信息。口令：从英语原文可以知道，是获得通过的一个信息，或者说是证明是本人的一个信息。日常说的密码，基本都是口令，比如银行卡密码，登陆密码。口令往往有试错限制，基本是三次即锁，对于百万次而言，三次随机情况下是足够安全的。如果对方已经掌握了账号和密码，磁条卡不堪一击——这就是为什么升级为IC卡的原因。对于IC卡，卡内才涉及到密码。目前对这个密匙的形成未有资料，一般说是存有私匙的装置，对于对方发来的信息加上本卡账号进行加密并将密文和公匙发回，对方有明文和公匙就能判断卡是真卡，而截获这个信息，不能伪造卡，因为下次交易方发来的信息会不同（比如这个信息包含了日期和时间，私匙加密，公匙只能解密）。即使有密码，伪造不出卡来，还是没有办法取款（截获交易方发来的信息只有交易方的信息，没有账号和私匙）对于银行数据库管理，一般人员由于防火墙的限制及软件限制，连密文都拿不到，谈什么破解——银行的工作人员没有必要得到用户的“密码”，所以加密“密码”密匙，计算机自己知道就可以了。总结：银行卡密码（口令） 不等于 IC卡的密码 不等于 银行用于加密数据的密码
NGA论坛著名版主
穷举是没希望的……所以一般安全有保障的。
很遗憾大部分人的答案都不对，因为讨论的基础就是错的。“只有6位数字，总共才100w次，即使是密文，只要知道加密方法，一眼就知道密码是什么了，找个100w的对应表就行了，很容易。”会有这个表述，说明楼主没有设计数据库加密存储的经验。密码的存储，首先就要求是非对称加密的。也就是说，加密后的密码是无法通过算法来还原出明文的，MD5就是典型的非对称加密算法。楼主描述的，就是用密码原文进行非对称加密。但是，实际存储的时候，一定会用一个规则对密码原文进行混淆，比如，用用户账号的MD5，加上密码明文的MD5，将结果再MD5，得到的结果存到数据库里。这就保证了即使所有人设置相同的密码，其加密结果是不同的。这个规则不泄露，密码是安全的。当然，银行的混淆方法比这个复杂得多。再想往深了了解，可以看看银行卡的一个规范，叫PBOC，里面非常详细地描述了银行交易报文的加密机制。简单说，银行交易报文在任何两个通讯节点间都要经过加密和解密，且只有这两个节点才互相知道密钥，而密钥是通过硬件加密机分配的。一般的抓包分析根本无法破解。综上，银行密码泄露的最大风险还在输入端，比如被人偷窥或者盗摄（这个词暴露了。。。），还有中木马。从目前的情况看，银行系统及数据库是非常安全的，放心吧。
谁掌握了信息,谁就掌握了权力,谁就掌握了财富
Finance Coder
昨天办理某银行总行科技部的外来人员门禁卡申请表，填了八张单子！各种协议、、、身份证被拿走复印的那一刻，我就在想会不会银行立即调用征信系统核查一下我的背景、、、同楼上各位所言，倾向于制度保障，至多加重硬件保障，而非强调软件技术保障，想破译，两次加密又如何、、、这就是生活题，不是计算机题、、、
其实穷举法还有另一种用法……找个生日密码或123456之类的试不同的卡号，总有人会用这样的密码……
后回答问题，你也可以用以下帐号直接登录
(C)2017果壳网&&&&京ICP证100430号&&&&京网文[-239号&&&&新出发京零字东150005号&&&&
违法和不良信息举报邮箱：&&&&举报电话：如果银行卡取款后忘记拔卡，他人盗取后修改密码时需要输入老密码才能修改？还是直接可
|||||||||||
您的当前位置： &
如果银行卡取款后忘记拔卡，他人盗取后修改密码时需要输入老密码才能修改？还是直接可
人气：258 ℃|时间： 10:34:14|
问题：如果银行卡取款后忘记拔卡，他人盗取后修改密码时需要输入老密码才能修改？还是直接可以修改？
本人银行卡不幸遗失，现在月底要打工资，冻结的话不知道钱能不能打进去？不冻结的话，如果银行卡是我取款后忘记拔卡，他人盗取后修改密码时需要输入老密码才能修改？还是直接可以修改？急！！别人拿你的卡去改密码,必须输入密码登录后才可以修改新密码.你可以挂失,挂失冻结帐户后可以转钱进入的,只是不能取而已.重新换卡后就可以取了,一个星期时间.追问：我的意思是我的卡还插ATM机里，盗取人如果改密码是不需要输入旧密码的？只要输入2遍新的就可以更改了
央视曝银行卡黑市:5分钟搞定上千密码【核心提示】
& "如果银行卡密码后两位数为'00',那只要输入前建设银行否认银行卡存安全问题 停用4位数密码如果发觉密码被偷窥,要立即修改密码或联系银行办理密码挂失.根据里面的提示,"矫正"银行密码时钟,在两次输入密钥口令后,卡内余额银行卡被盗用,涉及刑事,需要由公安机关介入.