銀行卡的密碼為什么是六位數(shù)
銀行卡是人們都會(huì)用的,但是有沒(méi)有人想過(guò),為什么密碼只用六位,而且全用數(shù)字的問(wèn)題。下面是學(xué)習(xí)啦小編整理的一些銀行卡的密碼的資料,供您參考。
銀行卡的密碼是六位數(shù)的原因
要明白其中的道理,首先我們來(lái)看一個(gè)法則,即“7±2法則”,它是由美國(guó)認(rèn)知心理學(xué)家喬治·A·米,于1956年發(fā)表在《心理學(xué)評(píng)論》上的一篇重要論文。該論文指出,年輕人的記憶廣度大約為7個(gè)單位(阿拉伯?dāng)?shù)字、字母、單詞或其他單位,稱(chēng)為組塊),也就是說(shuō),如果達(dá)到7個(gè)及以上大部分人就很難對(duì)其短時(shí)記憶(如果是年齡稍大的就很難說(shuō)了),因此從記憶力上來(lái)說(shuō)6位是最符合短時(shí)記憶的。
銀行采用6位短時(shí)記憶,是有一定道理的。首先,持卡人忘記單個(gè)數(shù)字的概率是一樣的,密碼的位數(shù)越多,錯(cuò)誤的可能性越大。如果加大密碼位數(shù)的話(huà),持卡人輸錯(cuò)密碼的概率會(huì)增加(在目前三次密碼試錯(cuò)之后,就必須到柜臺(tái)進(jìn)行辦理,這樣每天到銀行辦理密碼掛失的人超過(guò)辦理其他正常業(yè)務(wù)的人,這會(huì)使得其他業(yè)務(wù)得不到正常辦理),這樣重新輸入密碼乃至銀行解鎖都會(huì)降低效率。這說(shuō)明密碼的位數(shù)不能太長(zhǎng),但是也不能太短,否則試對(duì)的可能性很高。每增加一位數(shù)字,其試對(duì)的可能性為前次的十分之一。從記憶上來(lái)說(shuō),6位是最符合的。
銀行卡密碼選擇全部是數(shù)字的原因
1)全部使用數(shù)字已經(jīng)足夠。其實(shí),使用全數(shù)字密碼(簡(jiǎn)單密碼)與其他復(fù)雜組合作為密碼(復(fù)雜密碼)的區(qū)別,主要是在抗暴力破解方面的優(yōu)勢(shì)。我們會(huì)想,現(xiàn)在計(jì)算能力如此高的情況下,不夠長(zhǎng)的純數(shù)字密碼幾乎不起計(jì)算機(jī)的暴力破解,而包含字母、標(biāo)點(diǎn)符號(hào)的密碼抗暴力破解的能力大大增加。但是,有一點(diǎn)你要相信,在銀行系統(tǒng)、 ATM 、電話(huà)銀行等等方面你是無(wú)法進(jìn)行暴力破解的(涉及安全性,原理后面說(shuō))。所以,復(fù)雜密碼幾乎不被認(rèn)可。且現(xiàn)在網(wǎng)絡(luò)銀行,因?yàn)槭褂酶鞣N認(rèn)證方式的配合,你也是無(wú)法進(jìn)行暴力破解的(后面說(shuō)明)。
2)選擇全部數(shù)字作密碼是歷史原因決定的。在早期,整個(gè)銀行系統(tǒng)計(jì)算和存儲(chǔ)性能很有限,高昂的計(jì)算機(jī)成本導(dǎo)致提供復(fù)雜密碼的成本太高。且在國(guó)外很多支付情況下對(duì)密碼的依賴(lài)性不高,很多時(shí)候是靠簽、復(fù)寫(xiě)等等方式即可滿(mǎn)足需求。
3)越簡(jiǎn)單的密碼輸入設(shè)備,越能適配更多的系統(tǒng)和設(shè)備。選擇全部數(shù)字作為密碼,可以更好的延伸至電話(huà)、手機(jī)等等簡(jiǎn)單設(shè)備的輸入支持,可以實(shí)現(xiàn)電話(huà)銀行等功能。并且,使用純數(shù)字密碼,如果持卡人發(fā)現(xiàn)密碼泄漏,就可在很短的時(shí)間內(nèi)通過(guò)電話(huà)銀行將其修改。
4)選擇全部數(shù)字作為銀行密碼,大大降低設(shè)備的輸入設(shè)備成本。設(shè)想一個(gè)包含字母、符號(hào)、數(shù)字的全鍵盤(pán)成本高,還是簡(jiǎn)單的數(shù)字鍵盤(pán)成本高。特別是在 ATM 等等設(shè)備上,這樣不同的輸入設(shè)備的價(jià)格差距更大。
安全分析銀行卡密碼不可被破譯的原因
在銀行的密碼安全中,密碼保密不僅是通過(guò)計(jì)算機(jī)密碼算法來(lái)保密,而且是通過(guò)更可靠的保密制度來(lái)保密的。也就是說(shuō),銀行把密碼在銀行的安全性,寄托在密文不被竊取的前提下(當(dāng)然,這通常和互聯(lián)網(wǎng)部分人所認(rèn)為的不一樣)來(lái)保密的。我們都知道,在大多數(shù)ATM中,只有數(shù)字鍵盤(pán),10個(gè)字母,就算到10位長(zhǎng)度,也不過(guò)100億個(gè)組合,對(duì)于離線攻擊來(lái)說(shuō),照樣是小case。所以,當(dāng)銀行在技術(shù)上無(wú)法做到對(duì)抗離線攻擊的時(shí)候,就只能用可靠的保密制度了:
1)、銀行中只有極少數(shù)人能直接接觸儲(chǔ)戶(hù)密碼(密文),而這些人的身份和操作全部會(huì)被記錄在案,就算離職,這些信息也不會(huì)被清除。
2)、涉及存儲(chǔ)及使用這些信息的電腦網(wǎng)絡(luò)物理隔離,操作終端攝像頭全程監(jiān)控(別想著抄下來(lái)),并且我們知道,銀行使用的網(wǎng)絡(luò)是專(zhuān)用的。
3)、攻擊銀行或者金融機(jī)構(gòu)是屬于犯罪行為,刑罰上不封頂(最高無(wú)期徒刑或者死刑)。
4)、高科技犯罪,沒(méi)幾個(gè)能玩,也沒(méi)幾個(gè)敢玩(一經(jīng)發(fā)現(xiàn),公安部直接全國(guó)乃至全球通緝)。因?yàn)?,全世界都有銀行,一但有一案件出現(xiàn),將是全球支持的。而且沒(méi)有幾個(gè)扛得住層出不窮的審訊手法的。
5)、銀行內(nèi)部還預(yù)留部分資金以避免一但被竊無(wú)法追回后賠償儲(chǔ)戶(hù)(一但攻擊,儲(chǔ)戶(hù)能得保障)。
隨著社會(huì)的發(fā)展,銀行也與互聯(lián)網(wǎng)鏈接實(shí)現(xiàn)網(wǎng)上銀行等便利。我們都知道,在銀行專(zhuān)網(wǎng)(ATM或者銀行網(wǎng)點(diǎn)等)內(nèi)使用全數(shù)字密碼是可靠的。但一但與互聯(lián)網(wǎng)相連后,單靠輸入全數(shù)字密碼來(lái)驗(yàn)證身份就不行了,必須要有一整套的安全措施來(lái)保障交易的安全,這就是USB Key。那么USB Key又是怎么保證的呢。
從技術(shù)角度看,U盾是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具,它內(nèi)置微型智能卡處理器,基于PKI技術(shù),采用1024位非對(duì)稱(chēng)密鑰算法對(duì)網(wǎng)上數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名,確保網(wǎng)上交易的保密性、真實(shí)性、完整性和不可否認(rèn)性。它設(shè)備雖然小巧,但技術(shù)含量極高。該產(chǎn)品采用了目前國(guó)際領(lǐng)先的信息安全技術(shù),核心硬件模塊采用智能卡CPU芯片,內(nèi)部結(jié)構(gòu)由CPU及加密邏輯、RAM、ROM、EEPROM和I/O五部分組成,是一個(gè)具有安全體系的小型計(jì)算機(jī)。除了硬件,安全實(shí)現(xiàn)完全取決于技術(shù)含量極高的智能卡芯片操作系統(tǒng)COS,該操作系統(tǒng)就象DOS、WINDOWS等操作系統(tǒng)一樣,管理著與信息安全密切相關(guān)的各種數(shù)據(jù)、密鑰和文件,并控制各種安全服務(wù)。USBKey 具有硬件真隨機(jī)數(shù)發(fā)生器,密鑰完全在硬件內(nèi)生成,并存儲(chǔ)在硬件中,能夠保證密鑰不出硬件,硬件提供的加解密算法完全在加密硬件內(nèi)運(yùn)行。下面介紹下相關(guān)知識(shí)。
(一)、U盾的安全措施
1)、硬件PIN碼保護(hù)
U盾采用了使用以物理介質(zhì)為基礎(chǔ)的個(gè)人客戶(hù)證書(shū),建立基于公鑰PKI技術(shù)的個(gè)人證書(shū)認(rèn)證體系(PIN碼)。黑客需要同時(shí)取得用戶(hù)的U盾硬件以及用戶(hù)的PIN碼,才可以登錄系統(tǒng)。即使用戶(hù)的PIN碼泄露,U盾沒(méi)有丟失,合法用戶(hù)的身份就不會(huì)被仿冒,如果用戶(hù)U盾丟失,其他人不知道用戶(hù)的PIN碼,這也是無(wú)法假冒合法用戶(hù)的身份。
2、安全的密鑰存放
U盾的密鑰存儲(chǔ)于內(nèi)部的智能芯片中,用戶(hù)無(wú)法從外部直接讀取,對(duì)密鑰文件的讀寫(xiě)和修改都必須由U盾內(nèi)部的CPU調(diào)用相應(yīng)的程序文件執(zhí)行,從而U盾接口的外面,沒(méi)有任何一條指令能對(duì)密鑰區(qū)的內(nèi)容進(jìn)行讀取、修改、更新和刪除,這樣可以保證黑客無(wú)法利用非法程序修改密鑰。
3)、雙密鑰密碼體制
為了提高交易的安全,U盾采用了雙鑰密碼體制保證安全性,在U盾初始化的時(shí)候,先將密碼算法程序燒制在ROM中,然后通過(guò)產(chǎn)生公私密鑰對(duì)的程序生成一對(duì)公私密鑰,公私密鑰產(chǎn)生后,密鑰可以導(dǎo)出到U盾外,而私鑰則存儲(chǔ)于密鑰區(qū),不允許外部訪問(wèn)。進(jìn)行數(shù)字簽名時(shí)以及非對(duì)稱(chēng)解密運(yùn)算時(shí),凡是有私參與的密碼運(yùn)算只在芯片內(nèi)部即可完成,全程私鑰可以不出U盾介質(zhì),從而來(lái)保證以U盾為存儲(chǔ)介質(zhì)的數(shù)字證書(shū)認(rèn)證在安全上無(wú)懈可擊。
4)、硬件實(shí)現(xiàn)加密算法
U盾內(nèi)置CPU或智能卡芯片,可以實(shí)現(xiàn)數(shù)據(jù)摘要、數(shù)據(jù)加解密和簽名的各種算法,加解密運(yùn)算在U盾內(nèi)進(jìn)行,保證了用戶(hù)密鑰不會(huì)出現(xiàn)在計(jì)算機(jī)內(nèi)存中。
(二)、U盾進(jìn)行銀行和持卡人身份的雙向認(rèn)證
1)、基于沖擊-響應(yīng)認(rèn)證模式USB Key內(nèi)置單向散列算法(RSA),預(yù)先在USB Key和服務(wù)器中存儲(chǔ)一個(gè)證明用戶(hù)身份的密鑰,當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶(hù)身份時(shí),先由客戶(hù)端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)回傳給PC上插著的USBKey,此為“沖擊”。USB Key使用該隨機(jī)數(shù)與存儲(chǔ)在USBKey中的密鑰進(jìn)行RSA運(yùn)算得到一個(gè)運(yùn)算結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器,此為“響應(yīng)”。
與此同時(shí),服務(wù)器使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫(kù)中的該持卡人密鑰進(jìn)行RSA運(yùn)算,如果服務(wù)器的運(yùn)算結(jié)果與持卡人傳回的響應(yīng)結(jié)果相同,則認(rèn)為客戶(hù)端是一個(gè)合法用戶(hù)。
2)、基于PKI的數(shù)字證書(shū)的認(rèn)證式PKI(Public Key Infrastructure)即公共密鑰體系,即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。一個(gè)公共密鑰(公鑰,public key)和一個(gè)私有密鑰(私鑰,private key)。其基本原理是:由一個(gè)密鑰進(jìn)行加密的信息內(nèi)容,只能由與之配對(duì)的另一個(gè)密鑰才能進(jìn)行解密。公鑰可以廣泛地發(fā)給與自己有關(guān)的通信者,私鑰則需要十分安全地存放起來(lái)。每個(gè)用戶(hù)擁有一個(gè)僅為本人所掌握的私鑰,用它進(jìn)行解密和簽名;同時(shí)擁有一個(gè)公鑰用于文件發(fā)送時(shí)加密。當(dāng)發(fā)送一份保密文件時(shí),發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無(wú)誤地到達(dá)目的地了,即使被第三方截獲,由于沒(méi)有相應(yīng)的私鑰,也無(wú)法進(jìn)行解密?! _擊響應(yīng)模式可以保證用戶(hù)身份不被仿冒,但無(wú)法保證認(rèn)證過(guò)程中數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中的安全。
而基于PKI的“數(shù)字證書(shū)認(rèn)證方式”可以有效保證用戶(hù)的身份安全和數(shù)據(jù)傳輸安全。數(shù)字證書(shū)是由可信任的第三方認(rèn)證機(jī)構(gòu)——數(shù)字證書(shū)認(rèn)證中心(Certficate Authority,CA)頒發(fā)的一組包含用戶(hù)身份信息(密鑰)的數(shù)據(jù)結(jié)構(gòu),PKI體系通過(guò)采用加密算法構(gòu)建了一套完善的流程,保證數(shù)字證書(shū)持有人的身份安全。而使用USB Key可以保障數(shù)字證書(shū)無(wú)法被復(fù)制,所有密鑰運(yùn)算在USB Key中實(shí)現(xiàn),用戶(hù)密鑰不在計(jì)算機(jī)內(nèi)存出現(xiàn)也不在網(wǎng)絡(luò)中傳播,只有USBKey的持有人才能夠?qū)?shù)字證書(shū)進(jìn)行操作,安全性有了保障。由于USB Key具有安全可靠,便于攜帶、使用方便、成本低廉的優(yōu)點(diǎn),加上PKI體系完善的數(shù)據(jù)保護(hù)機(jī)制,使用USB Key存儲(chǔ)數(shù)字證書(shū)的認(rèn)證方式已經(jīng)成為目前主要的認(rèn)證模式。
最后說(shuō)明一下,不管安全措施如何完善,懂得安全知識(shí)才是最安全的,為此,給出以下建議。為了確保您的資金安全,建議您在日常生活和使用各類(lèi)網(wǎng)絡(luò)服務(wù)過(guò)程中,都要注意以下情況,謹(jǐn)防被別有用心的詐騙分子利用:
1)、預(yù)留的手機(jī)號(hào)碼是核實(shí)您身份的重要工具。切勿將在銀行辦理業(yè)務(wù)時(shí)預(yù)留的手機(jī)號(hào)碼設(shè)成他人的手機(jī)號(hào)碼;
2)、切勿輕易將自己的Key盾、Key令交給他人使用,也不要將Key令的動(dòng)態(tài)口令、銀行發(fā)送的短信動(dòng)態(tài)驗(yàn)證碼透露給他人;
3)、切勿輕易向他人透露自己的身份信息和銀行信息:包括銀行賬號(hào)、證件號(hào)碼、網(wǎng)銀/手機(jī)銀行登錄名、綁定銀行卡或網(wǎng)銀的手機(jī)號(hào)碼、銀行卡背后的三位數(shù)字、信用卡有效期等;
4)、切勿輕易向他人透露自己的各類(lèi)密碼,包括銀行卡密碼、存折密碼、網(wǎng)銀密碼、手機(jī)銀行密碼等;
5)、如果有人通過(guò)電話(huà)、通訊軟件服務(wù)(例如QQ、微信、旺旺、微博私信、論壇短信等)向您索要上述信息或安全認(rèn)證工具,或?qū)⑺耸謾C(jī)號(hào)碼設(shè)置為您在銀行辦理業(yè)務(wù)時(shí)綁定的手機(jī)號(hào)碼,請(qǐng)務(wù)必慎防詐騙,需妥善保管好個(gè)人資料,嚴(yán)防泄露;
6)、如遇到有人通過(guò)電話(huà)、通訊軟件服務(wù)向您推薦所謂“內(nèi)部關(guān)系辦理信用卡”、“內(nèi)部關(guān)系辦理貸款”或各種優(yōu)惠條件特別誘惑的業(yè)務(wù)等不正常的銀行服務(wù),請(qǐng)不要辦理。如需辦理信用卡、貸款等銀行業(yè)務(wù),請(qǐng)移步到銀行網(wǎng)點(diǎn)或聯(lián)系客服熱線咨詢(xún)辦理;
7)、如有人通過(guò)電話(huà)或其他方式要求您將錢(qián)轉(zhuǎn)到或存入陌生來(lái)電指定的賬戶(hù),需提高警惕,可能是詐騙圈套。
>>>下一頁(yè)更多精彩“銀行卡CVV密碼校驗(yàn)”