FPC廠認(rèn)為銀行使用純數(shù)字密碼不安全,是基于暴力破解的結(jié)論上形成的印象,所謂暴力破解,就是把所有字符進(jìn)行排列組合,然后當(dāng)成密碼去試,暴力破解被認(rèn)為是一種無所不能的破解方式。
確實(shí),理論上只要計(jì)算機(jī)速度足夠快,時(shí)間足夠長,沒有暴力破解方法破解不了的密碼,這也是為什么很多網(wǎng)站都要求用戶設(shè)置密碼要包括數(shù)字、大小寫字母和特殊符號(hào)的原因,密碼越復(fù)雜,暴力破解需要的時(shí)間就越長。
1、暴力破解怎么解
密碼破解這個(gè)事情呀,最有效的方法是將數(shù)據(jù)庫down下來,把保存密碼的表讀出來,這也是很多網(wǎng)站用戶名密碼失竊的主要途徑。后來為了防止密碼因?yàn)榇娣琶艽a數(shù)據(jù)庫泄露而泄露,專門對(duì)密碼進(jìn)行了加密,相應(yīng)的就出現(xiàn)了破解加密方式的破解,目前針對(duì)密碼加密最好的方式是MD5,是一種不可逆的加密方式,這也是越來越多網(wǎng)站及密碼保存開始使用的方法。暴力破解之所以可以破解MD5加密是因?yàn)樗皇菑拿芪南率值?,而是不斷的試不同密碼。暴力破解一個(gè)簡單方法是字典破解,就是收集大量用戶最常用的密碼,然后先試這些密碼,比如123456、123qwe等等,這也是很多網(wǎng)站提示密碼不能太簡單的原因。另一種方式是撞庫,因?yàn)榇蠹叶贾烂艽a最常用的加密方式是MD5,但MD5是不可逆的,但同樣密碼經(jīng)過MD5加密出來的密文是相同的,比如密碼123456經(jīng)過MD5加密以后的密文是“e10adc3949ba59abbe56e057f20f883e”,這個(gè)密文就代表了“123456”,于是就有人把常用密碼先經(jīng)過MD5加密,拿數(shù)據(jù)庫中保存的密文與手里的密文庫做對(duì)比,如果有相同的,說明這個(gè)密碼就是該密文對(duì)應(yīng)的那個(gè)字符串。
2、銀行密碼不可能被暴力破解
暴力破解的成功有兩個(gè)前提,時(shí)間足夠長、速度足夠快,這兩個(gè)條件是互為因果,但還有一個(gè)更重要的前提是,要有足夠多的試錯(cuò)機(jī)會(huì)。
銀行正是從這方面下手來防止密碼被暴力破解,所以很多銀行都設(shè)置了密碼試錯(cuò)次數(shù)不超過3次,超過3次賬戶就要被臨時(shí)鎖定,如果鎖定次數(shù)過多,賬戶就會(huì)被長期鎖定,想解鎖就需要帶身份證去柜臺(tái)解鎖。
只要沒有足夠多的試錯(cuò)機(jī)會(huì),純數(shù)字密碼是安全的,即使這個(gè)密碼只有6位。
3、密文上也無法下功夫
破解密碼的另一種方式剛才也說了,破解密文,不過破解密文的前提是得能拿到密文,也就是說,得能先黑得進(jìn)去銀行的數(shù)據(jù)庫。這可不是一般人能做得了的,數(shù)據(jù)庫服務(wù)器肯定不能與提供服務(wù)的服務(wù)器放在一起,這種物理隔絕是系統(tǒng)架構(gòu)師最基本的能力。接觸數(shù)據(jù)庫服務(wù)器人員限制得是必須的吧,在接觸的過程中全程記錄得是必須的吧?這種連坤鵬論都能想到的方法,怎么可能沒有一個(gè)很好的防范機(jī)制呢?
無法暴力破解,又無法從密文上下功夫,那這個(gè)密碼的安全性也還是說得過去的。
4、6位密碼有原因
數(shù)據(jù)安全倍受重視也不是與生俱來的,也都是隨著計(jì)算機(jī)運(yùn)算速度的提高,隨著不斷有更多密碼被破解而慢慢受到重視的。
但銀行使用計(jì)算機(jī)可是很早的,所以在早期時(shí)設(shè)置純數(shù)字密碼也并沒有被認(rèn)為不安全。純數(shù)據(jù)密碼顯而易見的好處是通用性強(qiáng)且容易記憶。
因?yàn)椴涣隋e(cuò)試幾次便不能再試的機(jī)制,暴力破解密碼這種方式在破解銀行密碼方面就沒有用武之地,所以密碼是純數(shù)字還是字母+數(shù)字+特殊字符在密碼層面就顯得沒有太大意義。
至于密文的保存,不管保存機(jī)制是否安全,都與密碼本身關(guān)系不大。
當(dāng)然了,銀行對(duì)于密文的保存,用腳指頭也能想出來,肯定是非常嚴(yán)格的。
有些人認(rèn)為,延續(xù)使用純數(shù)字密碼還有一方面考慮是硬件成本,因?yàn)槿绻獡Q成字母+數(shù)字的話,不僅銀行柜臺(tái)要改密碼輸入器,ATM機(jī)的輸入鍵也需要更換,坤鵬論認(rèn)為,這并不是延續(xù)使用純數(shù)字密碼的原因,至少不是主要原因。能像鍵盤輸入鍵排列這種美麗錯(cuò)誤且還能一直延續(xù)使用幾十年的并不多,在與錢打交道的行業(yè)里,安全才是第一位的。
5、UKEY及證書更安全
隨著互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的發(fā)展,越來越多的銀行開始使用UKEY和證書,將密碼與硬件相結(jié)合,這種情況下,就算其他人拿到密碼而沒有UKEY,也無法完成支付。相比與將密碼設(shè)置的更復(fù)雜,使用UKEY這種方式安全性更強(qiáng)。有了這種方法,密碼是純數(shù)字也就不那么重要了。