※ 引述《ryanodine (ryanodine)》之銘言： : 大家好, 我是原PO : 關於當初我所申請的密碼 : 是一固定密碼 : 不是所謂的動態認證密碼 : 所以大家一直在懷疑是我周遭的人 : 可是事實不是這樣的 : 我昨天已經請警察處理了 : 後續我會再跟大家報告, 謝謝 : ※ 引述《maniaque (maniaque)》之銘言： : : 俗話說...家賊難防. : : 看來,還是得講的讓您知道大概事情的大概輪廓... 之前那篇文章過期被刪了，再轉一次！ 信用卡被盜刷 「保密不周」敗訴【聯合報╱記者劉峻谷／台北報導】 轉貼自2007.08.28聯合新聞網 http://udn.com/NEWS/NATIONAL/NAT2/3989145.shtml 銀行女行員羅向容人在台灣，卻有人在南韓上網以她的信用卡購物，發卡銀行要她給付六 千餘元消費款。法院審理認為羅向容未妥善保管網路交易密碼，就算真的被人盜用也算她 的帳，判決她敗訴。 羅向容昨天無奈地表示，不會上訴，遇上了算她倒楣；但要敬告所有消費者，如果可以不 用網路交易，儘量不要使用，風險太高了。 她說，她曾在新光銀行任職，因此辦了新光銀行的信用卡和上網註冊網路交易使用的「網 路驗證服務」，目前她在日盛銀行當行員。 去年四月廿六日，有人在南韓上網，使用羅向容的信用卡完成六筆網路購物，其中三筆輸 入她的網路交易驗證密碼，順利完成交易，另三筆沒有輸入密碼，交易未完成。新光銀行 事後向羅向容要求付清三筆交易的六千兩百五十元。 羅向容向法官表示，她根本沒出國，且案發當天她一接獲刷卡消費簡訊，立即告知新光銀 行被盜刷並報警，因此拒付該款項。 銀行指出，密碼是採極不易破解的「SHA-1加密法」，且電腦系統沒有記憶功能，只有聯 合信用卡處理中心有密碼；羅女是唯一知道密碼的人，須負保管密碼不周之責。銀行並解 釋，輸入密碼的網址可以更改，這幾筆網購不一定是在南韓刷卡。 新光銀行並拿出申請信用卡「網路驗證服務」契約指出，「凡使用密碼完成之信用卡交易 ，本行均視為已經本人同意之交易。亦即，若您未善盡保管『密碼』的義務而致他人使用 『密碼』，因此產生的款項仍由您負擔。」請求判決羅女負清償責任。 聯合信用卡處理中心函覆法院指出，「SHA-1」是目前廣泛被採用在商業交易的密碼加密 方式，極難破解，且上述三筆交易輸入密碼都是一次完成，不是重試多次才猜對密碼。 法院據此認定，銀行已就驗證密碼的安全性，採取相當的防護措施，以確保羅向容是唯一 知道密碼的人，信用卡遭冒用盜刷的責任要由羅向容承擔；縱然不是她親自交易，也要負 保管密碼不周之責。 ============================================================================== 不要說在東部，在韓國都要妳負責了說～ 基本上這種狀況應該是銀行仍視為本人交易，如果持卡人要求償，應向盜刷者另提起 民事訴訟..... Anyway, goodluck....煩請原po持續回報喔～ 總之，Visa驗證跟MasterCard SecureCode請小心使用， 當然，最好都不要用也不要申請！ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.25.249.100 > -------------------------------------------------------------------------- < 作者: hoboks (戴爾真嫩) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 14:03:44 2010 看起來真的很糟 我想這邊的網路交易密碼 應該不是信用卡背面的那三碼驗證碼吧 可以請問一下有人可以解釋哪些銀行有提供這種網路交易密碼嗎? 以前我曾在銀行法務工作過 那時候有機會接觸到線上交易這塊 所以法官跟銀行這種說法也不是沒有道理 SHA加密法還蠻安全的 不太可能被破解加密後盜用密碼 可是啊 那時後閒著無聊 又想考國考的資訊組 我就請負責線上交易的組長來教我寫這些程式 順便了解一下整個線上交易的內容 組長可能也很少教人吧 一教到我一整個興奮 所有的絕活都拿出來了 而這件事跟這個新聞報導有連結的地方在於 組長教會我一件事情 不是一定要破解SHA才可以拿到密碼的 有很多的手段都可以拿到 尤其他又是開發程式的人 從你一登入網站到結束 中間經過多少步驟 隨便有個木馬就把密碼幹走了 幹嘛一定要用破解SHA的方式 這就是這個判決有盲點的地方 我舉個簡單的例子 假設整個線上交易系統被防的滴水不漏 結果你被盜刷 法官判你輸 要付錢 原因是線上交易非常安全 可是上帝她看見了整個事實的來龍去脈 幫你點出問題的癥結 癥結是出在你當初領密碼的時候 櫃員把你偷偷記下來了 然後櫃員再去盜刷 這樣的確交易是很安全 跟法官的理由沒有違背 可是要你負責這筆款項你能心服口服嗎? 最後還是請前輩告知一下 到底這個密碼是甚麼 我也想趕快去取消 ※ 引述《WaterDragonI (水龍)》之銘言： : ※ 引述《ryanodine (ryanodine)》之銘言： : : 大家好, 我是原PO : : 關於當初我所申請的密碼 : : 是一固定密碼 : : 不是所謂的動態認證密碼 : : 所以大家一直在懷疑是我周遭的人 : : 可是事實不是這樣的 : : 我昨天已經請警察處理了 : : 後續我會再跟大家報告, 謝謝 : 之前那篇文章過期被刪了，再轉一次！ : 信用卡被盜刷 「保密不周」敗訴【聯合報╱記者劉峻谷／台北報導】 : 轉貼自2007.08.28聯合新聞網 : http://udn.com/NEWS/NATIONAL/NAT2/3989145.shtml : 銀行女行員羅向容人在台灣，卻有人在南韓上網以她的信用卡購物，發卡銀行要她給付六 : 千餘元消費款。法院審理認為羅向容未妥善保管網路交易密碼，就算真的被人盜用也算她 : 的帳，判決她敗訴。 : 羅向容昨天無奈地表示，不會上訴，遇上了算她倒楣；但要敬告所有消費者，如果可以不 : 用網路交易，儘量不要使用，風險太高了。 : 她說，她曾在新光銀行任職，因此辦了新光銀行的信用卡和上網註冊網路交易使用的「網 : 路驗證服務」，目前她在日盛銀行當行員。 : 去年四月廿六日，有人在南韓上網，使用羅向容的信用卡完成六筆網路購物，其中三筆輸 : 入她的網路交易驗證密碼，順利完成交易，另三筆沒有輸入密碼，交易未完成。新光銀行 : 事後向羅向容要求付清三筆交易的六千兩百五十元。 : 羅向容向法官表示，她根本沒出國，且案發當天她一接獲刷卡消費簡訊，立即告知新光銀 : 行被盜刷並報警，因此拒付該款項。 : 銀行指出，密碼是採極不易破解的「SHA-1加密法」，且電腦系統沒有記憶功能，只有聯 : 合信用卡處理中心有密碼；羅女是唯一知道密碼的人，須負保管密碼不周之責。銀行並解 : 釋，輸入密碼的網址可以更改，這幾筆網購不一定是在南韓刷卡。 : 新光銀行並拿出申請信用卡「網路驗證服務」契約指出，「凡使用密碼完成之信用卡交易 : ，本行均視為已經本人同意之交易。亦即，若您未善盡保管『密碼』的義務而致他人使用 : 『密碼』，因此產生的款項仍由您負擔。」請求判決羅女負清償責任。 : 聯合信用卡處理中心函覆法院指出，「SHA-1」是目前廣泛被採用在商業交易的密碼加密 : 方式，極難破解，且上述三筆交易輸入密碼都是一次完成，不是重試多次才猜對密碼。 : 法院據此認定，銀行已就驗證密碼的安全性，採取相當的防護措施，以確保羅向容是唯一 : 知道密碼的人，信用卡遭冒用盜刷的責任要由羅向容承擔；縱然不是她親自交易，也要負 : 保管密碼不周之責。 : ============================================================================== : 不要說在東部，在韓國都要妳負責了說～ : 基本上這種狀況應該是銀行仍視為本人交易，如果持卡人要求償，應向盜刷者另提起 : 民事訴訟..... : Anyway, goodluck....煩請原po持續回報喔～ : 總之，Visa驗證跟MasterCard SecureCode請小心使用， : 當然，最好都不要用也不要申請！ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.193.12.81 ※ 編輯: hoboks 來自: 123.193.12.81 (06/05 15:24) > -------------------------------------------------------------------------- < 作者: isaacc (小元宅爸) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 14:18:53 2010 ※ 引述《hoboks (戴爾真嫩)》之銘言： : 看起來真的很糟 : 我想這邊的網路交易密碼 應該不是信用卡背面的那三碼驗證碼吧 : 可以請問一下有人可以解釋哪些銀行有提供這種網路交易密碼嗎? google一下"網路驗證服務" 真的一點都不難 第一個就是VISA的網站。。。 : 以前我曾在銀行法務工作過 : 那時候有機會接觸到線上交易這塊 : 所以法官跟銀行這種說法也不是沒有道理 : SHA加密法還蠻安全的 不太可能被破解加密後盜用密碼 人家講的是SHA-1，比SHA安全很多很多 兩者是不一樣的東西 難得這回記者寫得完全正確 這位網友別再弄錯啦~ : 可是啊 那時後閒著無聊 又想考國考的資訊組 : 我就請負責線上交易的組長來教我寫這些程式 : 順便了解一下整個線上交易的內容 : 組長可能也很少教人吧 : 一教到我一整個興奮 所有的絕活都拿出來了 : 而這件事跟這個新聞報導有連結的地方在於 : 組長教會我一件事情 不是一定要破解SHA才可以拿到密碼的 : 有很多的手段都可以拿到 尤其他又是開發程式的人 : 從你一登入網站到結束 中間經過多少步驟 : 隨便有個木馬就把密碼幹走了 : 幹嘛一定要用破解SHA的方式 : 這就是這個判決有盲點的地方 盲點在妳身上喔。 記者的文章寫得很通俗易懂 這個驗證密碼基本上只有網友本人持有 銀行沒有，大家都沒有，請問如果外洩了，該懷疑誰? 法官不就這麼判決嗎? 法官沒說苦主"盜刷"，而是說她"保管密碼不周" 判決得非常貼切吧? 另外講到防範木馬，那是VISA驗證機制的一環 你當然可以做在這邊懷疑VISA她們的網站/系統不安全啦 但是請提出可讓人信服的證據，好嗎? : 我舉個簡單的例子 : 假設整個線上交易系統被防的滴水不漏 : 結果你被盜刷 法官判你輸 要付錢 : 原因是線上交易非常安全 : 可是上帝她看見了整個事實的來龍去脈 幫你點出問題的癥結 : 癥結是出在你當初領密碼的時候 櫃員把你偷偷記下來了 : 然後櫃員再去盜刷 : 這樣的確交易是很安全 跟法官的理由沒有違背 : 可是要你負責這筆款項你能心服口服嗎? 這段話誤很大。 擔心這個的話 是否你全盤不信賴銀行跟信用卡等交易系統? 那麼提款密碼很多行員都看的到阿 妳從此就不跟銀行打交道嗎? 妳真的很不了解相關驗證機制 所以建議就別再亂猜亂比喻了，差很多喔。 : 最後還是請前輩告知一下 到底這個密碼是甚麼 : 我也想趕快去取消 沒主動申請就絕對不會有，您放心吧。 : ※ 引述《WaterDragonI (水龍)》之銘言： : : 之前那篇文章過期被刪了，再轉一次！ : : 信用卡被盜刷 「保密不周」敗訴【聯合報╱記者劉峻谷／台北報導】 : : 轉貼自2007.08.28聯合新聞網 : : http://udn.com/NEWS/NATIONAL/NAT2/3989145.shtml : : 銀行女行員羅向容人在台灣，卻有人在南韓上網以她的信用卡購物，發卡銀行要她給付六 : : 千餘元消費款。法院審理認為羅向容未妥善保管網路交易密碼，就算真的被人盜用也算她 : : 的帳，判決她敗訴。 : : 羅向容昨天無奈地表示，不會上訴，遇上了算她倒楣；但要敬告所有消費者，如果可以不 : : 用網路交易，儘量不要使用，風險太高了。 : : 她說，她曾在新光銀行任職，因此辦了新光銀行的信用卡和上網註冊網路交易使用的「網 : : 路驗證服務」，目前她在日盛銀行當行員。 : : 去年四月廿六日，有人在南韓上網，使用羅向容的信用卡完成六筆網路購物，其中三筆輸 : : 入她的網路交易驗證密碼，順利完成交易，另三筆沒有輸入密碼，交易未完成。新光銀行 : : 事後向羅向容要求付清三筆交易的六千兩百五十元。 : : 羅向容向法官表示，她根本沒出國，且案發當天她一接獲刷卡消費簡訊，立即告知新光銀 : : 行被盜刷並報警，因此拒付該款項。 : : 銀行指出，密碼是採極不易破解的「SHA-1加密法」，且電腦系統沒有記憶功能，只有聯 : : 合信用卡處理中心有密碼；羅女是唯一知道密碼的人，須負保管密碼不周之責。銀行並解 : : 釋，輸入密碼的網址可以更改，這幾筆網購不一定是在南韓刷卡。 : : 新光銀行並拿出申請信用卡「網路驗證服務」契約指出，「凡使用密碼完成之信用卡交易 : : ，本行均視為已經本人同意之交易。亦即，若您未善盡保管『密碼』的義務而致他人使用 : : 『密碼』，因此產生的款項仍由您負擔。」請求判決羅女負清償責任。 : : 聯合信用卡處理中心函覆法院指出，「SHA-1」是目前廣泛被採用在商業交易的密碼加密 : : 方式，極難破解，且上述三筆交易輸入密碼都是一次完成，不是重試多次才猜對密碼。 : : 法院據此認定，銀行已就驗證密碼的安全性，採取相當的防護措施，以確保羅向容是唯一 : : 知道密碼的人，信用卡遭冒用盜刷的責任要由羅向容承擔；縱然不是她親自交易，也要負 : : 保管密碼不周之責。 : : ============================================================================== : : 不要說在東部，在韓國都要妳負責了說～ : : 基本上這種狀況應該是銀行仍視為本人交易，如果持卡人要求償，應向盜刷者另提起 : : 民事訴訟..... : : Anyway, goodluck....煩請原po持續回報喔～ : : 總之，Visa驗證跟MasterCard SecureCode請小心使用， : : 當然，最好都不要用也不要申請！ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 116.227.71.104 拜託不要再亂舉例子了。 SHA只是一個演算法 SSL只是一個通訊協定 就好比SHA是塊磚頭 SSL是某棟建築物 阿妳現在拿塊磚頭以及這塊磚頭為部分材料做成的建築物 就要跟大家討論羅馬大教堂的建築藝術嗎? 真的差太多了，拜託妳別再講密碼學的東西好嗎? ※ 編輯: isaacc 來自: 116.227.71.104 (06/05 15:11) 這個以前也討論過多次 銀行的立場就是密碼只有持卡人/客戶才有，所以她們要負全責 確完全沒有考慮到ATM卡的密碼容易保管難以外洩 但是這個VISA驗證密碼在目前的技術網路環境之下都有多種可能外洩 所以身為消費者，就是不用她!不用她!不用她!不用她!不用她! ※ 編輯: isaacc 來自: 116.227.71.104 (06/05 15:13) > -------------------------------------------------------------------------- < 作者: qwert999 (人生) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 14:53:25 2010 : : 最後還是請前輩告知一下 到底這個密碼是甚麼 : : 我也想趕快去取消 : 沒主動申請就絕對不會有，您放心吧。 請教一下各位 目前驗證是只要有密碼就可以 小弟曾經研究過遠端程式(隱形狀態就是木馬) 也試著自行撰寫(修課研究) 其中一項功能是紀錄鍵盤 也順道會紀錄目前視窗 然後固定時間上傳所有資料到伺服器 在這種狀況下 不是很容易就可以知道驗證密碼了嗎? 況且大部分民眾都沒有相關安全知識 當初程式的傳播方式是利用隨身碟 只要打開隨身碟就會中毒 何況還有各種隱藏於網頁 程式 電子郵件中的方式 這機制完完全全不安全啊 XD 至少也要是動態密碼(小機器隨機產生) 或是用圖片按鍵輸入 (像花旗銀行 但木馬也可以用滑鼠點一下就紀錄圖片) 這樣一來 刷卡額度跟盜刷不就有相關關係了嗎? 請教各位的意見~ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.56.159.241 > -------------------------------------------------------------------------- < 作者: qwert999 (人生) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 15:10:40 2010 : 這樣一來 刷卡額度跟盜刷不就有相關關係了嗎? : : 請教各位的意見~ : : -- : ※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 61.56.159.241 : → hoboks:是的 這也是我擔心的其中一個問題 06/05 14:55 : → hoboks:至少用網路ATM還有那張卡在保護 這種只需要密碼的 06/05 14:55 : → hoboks:還可以把責任全賴到刷卡人 殊難想像:( 06/05 14:55 : → TZUYIC:我不太懂這個，我想問我把一長串密碼寫在.txt或.doc檔案， 06/05 14:58 : → TZUYIC:交易時已複製、貼上方式填入密碼，而不用鍵盤key-in，這樣 06/05 14:58 : → TZUYIC:密碼有多容易被盜（情境是假使我真的被駭）？ 06/05 14:59 這個用回文的好了 關於TZUYIC 你說的方法可以過濾掉單純紀錄鍵盤的軟體 基本上中毒了大概可以想成所有電腦權限已經被取得 如果要針對這種情形 1.紀錄畫面的方式 2.log buffer (就是你複製時電腦存複製東西的地方) 如果是我的話 我會採取方式一 比如說當視窗是高鐵網路付款時 開始大量紀錄畫面 滑鼠每點一下就紀錄 怎麼防阿@@ 另外今天我借一下你的電腦 不用幾秒鐘就可以種下病毒 真的很不安全 我只是個門外漢 更不用提專家寫出來的程式了 消費者完完全全擔責非常非常不合理.... 這跟卡片背後三碼被知道的風險是一樣的 並不會比較小阿 補充 : 以現在的加密解密的方式 可以說 "出自己電腦後" 是安全的 也就是銀行端所持的理由 但是個人電腦端這邊很不安全阿 xdxdxd 安全最大隱憂 是人 xdxd -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.56.159.241 ※ 編輯: qwert999 來自: 61.56.159.241 (06/05 15:19) > -------------------------------------------------------------------------- < 作者: qwert999 (人生) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 16:54:44 2010 我想這一個案子最大問題在於 使用者根本沒辦法做保管 推文提到ATM例子 人們可以很容易判斷是否有人在偷看密碼 並且確認卡片是否在身上 但電腦安全 99%的人都不懂 不是用用掃毒軟體 灌灌電腦 用Linux 組裝一下就是會電腦 至少也要會組合語言 OS 計算機架構 這些電腦如何運作的知識 才算是開始接觸電腦 其他都是 pure user (借老師的話 XD) (PS 我也是pure user) 資工系都不見得有安全概念了... 何況一般普通人 舉例來說 BBS根本沒加密 你打的密碼全世界的人都知道 就算不知道 用小小的perl暴力破解破解法 用6位數以下的密碼 很容易就被強暴了... - - - - - - - - - - - - - - - - - - - - - - - - - - - - 講到密碼 以現今電腦破解所需要的時間如果很久的話 就認為它是安全的(如果沒有弱點被發現的話) 但這都是相對安全 大家記得基因計劃嗎 聯合全球電腦做運算 ... 另外 http://zh.wikipedia.org/zh/SHA%E5%AE%B6%E6%97%8F WIKI裡面關於SHA資料 我沒詳細研究資料正確性 我想大家要注意的是裡面提到的歷史 演算法是一直被找出弱點 SHA-0的破解 在CRYPTO 98上，兩位法國研究者提出一種對SHA-0的攻擊方式[1]： 2004年時，Biham和 Chen也發現了 ... 將本來需要80次方的複雜度降低到62次方。 2004/8/12 Joux, Carribault, Lemuet和Jalby宣佈找到SHA-0演算法的完整碰撞的方法.. SHA-1的破解 2005年，Rijmen和Oswald發表了對SHA-1較弱版本（53次的加密迴圈而非80次）.... 2005年二月，王小雲、殷益群及于紅波發表了對完整版SHA-1的攻擊... 2005年8月17日的CRYPTO會議尾聲中王小雲、姚期智、姚儲楓再度發表更有效率的... 2006年的CRYPTO會議上，Christian Rechberger和Christophe De Canniere宣布... 大家還這麼有信心嗎? 補充 : 這系列討論串我想重點應該不是被破解 而是大眾沒辦法防備被盜密碼 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.56.159.241 ※ 編輯: qwert999 來自: 61.56.159.241 (06/05 17:09) > -------------------------------------------------------------------------- < 作者: imrt (0830) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 19:20:57 2010 : ※ 引述《ryanodine (ryanodine)》之銘言： : : 大家好, 我是原PO : : 關於當初我所申請的密碼 : : 是一固定密碼 : : 不是所謂的動態認證密碼 : : 所以大家一直在懷疑是我周遭的人 : : 可是事實不是這樣的 : : 我昨天已經請警察處理了 : : 後續我會再跟大家報告, 謝謝 : : 信用卡被盜刷 「保密不周」敗訴【聯合報╱記者劉峻谷／台北報導】 : 轉貼自2007.08.28聯合新聞網 : : : http://udn.com/NEWS/NATIONAL/NAT2/3989145.shtml : : 去年四月廿六日，有人在南韓上網，使用羅向容的信用卡完成六筆網路購物，其中三筆輸 : 入她的網路交易驗證密碼，順利完成交易，另三筆沒有輸入密碼，交易未完成。新光銀行 : 事後向羅向容要求付清三筆交易的六千兩百五十元。 : : 聯合信用卡處理中心函覆法院指出，「SHA-1」是目前廣泛被採用在商業交易的密碼加密 : 方式，極難破解，且上述三筆交易輸入密碼都是一次完成，不是重試多次才猜對密碼。 : 我完全跟銀行或密碼無關，根本是幾千光年外的外星人了。 只是我在想，密碼不一定要破解，用猜的也會中。 首先是聯合中心說密碼輸入一次完成， 所以認為不是猜的。 但其實卡號是有規則可推算的。 如果用很浮濫常用的密碼去試很多組有效卡號， 試對了就可以繼續刷， 那麼不就符合文中一試就中，一中就刷三筆？ 而且查記錄也只會查到一試就中， 不會查到同密碼試多卡號的記錄吧？ 附帶一提的是， 就算要求設定密碼要有英文也要有數字， 還是會有最常見的密碼， 例如 abcd1234 這種。 只是不知道用這種密碼會不會被法官認為是「設密碼不用心」就是了 XD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.193.27.201 ※ 編輯: imrt 來自: 123.193.27.201 (06/05 19:21) ※ 編輯: imrt 來自: 123.193.27.201 (06/05 19:34) > -------------------------------------------------------------------------- < 作者: astrawberry (波希米亞*La La*) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 22:05:35 2010 想分享個題外話 類似的教學應該OP過 有關數字密碼的輸入法 假設我的卡號 1234-1234-1234-1234 我一定先輸入 12 12 123 123 然後再用滑鼠移到正確位置補上 34 34 4 4 下次輸入 我會再更換順序輸入 234 234 4 34 然後同樣道理 用滑鼠移到數字前方補上 1 1 123 12 只要網路交易每次輸入順序都故意不一樣 我有被盜刷過ㄧ次 但銀行(兆豐)主動發現異狀 之後我都格外小心 ※ 引述《imrt (0830)》之銘言： : : 信用卡被盜刷 「保密不周」敗訴【聯合報╱記者劉峻谷／台北報導】 : : 轉貼自2007.08.28聯合新聞網 : : http://udn.com/NEWS/NATIONAL/NAT2/3989145.shtml : : 去年四月廿六日，有人在南韓上網，使用羅向容的信用卡完成六筆網路購物，其中三筆輸 : : 入她的網路交易驗證密碼，順利完成交易，另三筆沒有輸入密碼，交易未完成。新光銀行 : : 事後向羅向容要求付清三筆交易的六千兩百五十元。 : : 聯合信用卡處理中心函覆法院指出，「SHA-1」是目前廣泛被採用在商業交易的密碼加密 : : 方式，極難破解，且上述三筆交易輸入密碼都是一次完成，不是重試多次才猜對密碼。 : 我完全跟銀行或密碼無關，根本是幾千光年外的外星人了。 : 只是我在想，密碼不一定要破解，用猜的也會中。 : 首先是聯合中心說密碼輸入一次完成， : 所以認為不是猜的。 : 但其實卡號是有規則可推算的。 : 如果用很浮濫常用的密碼去試很多組有效卡號， : 試對了就可以繼續刷， : 那麼不就符合文中一試就中，一中就刷三筆？ : 而且查記錄也只會查到一試就中， : 不會查到同密碼試多卡號的記錄吧？ : 附帶一提的是， : 就算要求設定密碼要有英文也要有數字， : 還是會有最常見的密碼， : 例如 abcd1234 這種。 : 只是不知道用這種密碼會不會被法官認為是「設密碼不用心」就是了 XD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.166.176.79 > -------------------------------------------------------------------------- < 作者: AFP (努力賺錢) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 22:06:48 2010 : ============================================================================== : 不要說在東部，在韓國都要妳負責了說～ : 基本上這種狀況應該是銀行仍視為本人交易，如果持卡人要求償，應向盜刷者另提起 : 民事訴訟..... : Anyway, goodluck....煩請原po持續回報喔～ : 總之，Visa驗證跟MasterCard SecureCode請小心使用， : 當然，最好都不要用也不要申請！ 請問一下 我辦的卡從來沒有拿過什麼密碼 線上刷卡只要填卡號 背面3碼 跟有效期 這樣如果被線上盜刷是銀行負責是嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.165.66.112 ※ 編輯: AFP 來自: 118.165.66.112 (06/05 22:07) > -------------------------------------------------------------------------- < 作者: qwert999 (人生) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sat Jun 5 23:05:57 2010 我試著去google國外文章 還沒找到判例 不過有些說法很有趣 隨便節錄一下 http://pindebit.blogspot.com/2008/10/is-verified-by-visa-also-verified-by.html Verified by Visa and Mastercard SecureCode are there purely to protect the banks, not the card holder. They offer zero additional protection to the consumer, but allow the bank to claim that transactions using purloined credit card credentials were really made by the card holder. It is as simple as that. 小翻 : VISA/MS 驗證根本就不是保護消費者而是保護銀行. 安全性沒有增加卻宣稱任何盜用都是由使用者造成的... -------------------------------------------------------------------------- http://www.channel4.com/news/articles/business_money/verified+by+visa/994747 The problem with the system is that it is possible to by-pass the password by clicking 'forgotten password' and answering security questions instead. These include questions about date of birth, information which is easily obtainable from a stolen driver's license or an online social networking site. Experts say its quite old technology, but Visa says the system is safer than having nothing. 小翻 : 問題是密碼可以很輕易被重置. 因為在遺失密碼這個機制中, 所需輸入資訊都可以很輕易的取得(例如社群網站). 專家認為這是一種很老舊的技術, 但Visa認為有總比沒有好 XD.... 補充 : Paper : Veried by Visa and MasterCard SecureCode: or, How Not to Design Authentication Steven J. Murdoch and Ross Anderson Computer Laboratory, University of Cambridge, UK http://www.cl.cam.ac.uk/~sjm217/papers/fc10vbvsecurecode.pdf 裡面很平淡的討論 但是說到 banks are free to set terms that shift liability to customers. For example, the Royal Bank of Scotland says [2]: You understand that you are nancially responsible for all uses of RBS Secure." So despite the bank having made many poor security choices, the customer must accept the losses { a clear example of misplaced incentives. The use of passwords also harms customer interests because they no longer have the statutory protection aorded by signatures where.... 小翻 : 銀行輕易的將責任轉給消費者, 例如 Royal Bank條款之一 :"你必須負全責" 所以儘管銀行做了許多危險的動作,消費者還是要接受損失. (真壞心 揪咪) 同時間這種方法也讓消費者興趣缺缺因為不再有信用卡簽名的保護.... (In fact the `3D' stands for three domains { the bank, the merchant and the payment network; the customer seems not to have been considered at design time.) 小翻 : 實際上3D指的是 銀行 商家 還有付款系統 ; 消費者似乎不再考慮之內 ------------------------------------------ 也就是說國外的質疑聲浪並不小 ... 我就不信美國這種國家會判銀行勝訴 今天拿一個不被認可是保護消費者的機制 卻要消費者擔權責 前提就不對 敗訴重點應該是簽了不平等條款 "必須負全責 - -" -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.56.159.241 ※ 編輯: qwert999 來自: 61.56.159.241 (06/06 00:41) > -------------------------------------------------------------------------- < 作者: hoboks (戴爾真嫩) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sun Jun 6 00:32:10 2010 剛請同事幫我找到這則判決了 http://tinyurl.com/2ctzbks 被告申請網路驗證服務時所 設定之密碼，係被告依其個人自由意志所決定，旁人無從得 知，且該密碼係以SHA-1 加密之不可逆方式儲存於系統內， 故不會發生資料外洩之情況，亦經財團法人聯合信用卡處理 中心以96年6 月21日（96）聯卡商管字第0960400137號函查 覆明確，自堪認原告就驗證密碼之安全性已採取相當之防護 措施，以確保被告為該驗證密碼之唯一知悉者，在此情況下 ，被告即成密碼安全之最關鍵控管者，亦為信用卡遭冒用風 險之優勢承擔人，故上開約款將他人得知密碼而盜刷之風險 歸由被告負擔，亦符合「風險歸於就防阻風險發生具有優勢 之人承擔」之原則，尚難認有何不當失衡之處。準此，本件 原告以前開約款課予被告妥善保管密碼之義務，並明定使用 「密碼」完成之交易，均視為被告同意之交易，而應由被告 負清償責任，應無顯失公平之情形，被告辯稱該約款顯失公 平而無效云云，尚不足採。 說SHA-1可以加密 又安全的人不是我啊 大人 灣甕啊 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.193.12.81 ※ 編輯: hoboks 來自: 123.193.12.81 (06/06 00:55) > -------------------------------------------------------------------------- < 作者: qwert999 (人生) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sun Jun 6 00:44:14 2010 大家參考 http://tw.knowledge.yahoo.com/question/question?qid=1105041702503 定型化契約中有故意過失免責約款時~其效力如何? 回答者： 來杯咖啡吧！ ( 實習生 3 級 ) 依據民法247-1條的規定， 如果使用定型化契約條款之人預先免時其責任， 按其情形顯失公平者該部分之條款無效。 但是、如果係爭定型化契約是屬於消費關係， 則依據消費者保護法第12條之規定， 企業經營者使用免除故意或過失責任約款之定型化契約， 會被認為屬於違反平等互惠原則而有顯失公平， 且違反誠信原則而被認為該條款無效。 民法第 247-1條 依照當事人一方預定用於同類契約之條款而訂定之契約，為左列各款之約定，按其情形顯失公平者，該部分約定無效： 一　免除或減輕預定契約條款之當事人之責任者。 二　加重他方當事人之責任者。 三　使他方當事人拋棄權利或限制其行使權利者。 四　其他於他方當事人有重大不利益者。 消費者保護法第 12 條 定型化契約中之條款違反誠信原則，對消費者顯失公平者，無效。 定型化契約中之條款有下列情形之一者，推定其顯失公平： 一　違反平等互惠原則者。 二　條款與其所排除不予適用之任意規定之立法意旨顯相矛盾者。 三　契約之主要權利或義務，因受條款之限制，致契約之目的難以達成者。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.56.159.241 > -------------------------------------------------------------------------- < 作者: GERRYccc (月狼) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sun Jun 6 03:21:00 2010 其實我認為信用卡或網路交易設計本身就不良， 因為網路交易最重要的卡號、有效期、後三碼 全都印在卡面上，而實體刷卡通常也絕大多數都是交由店員去刷操作 雖然以善良管理人來說，他不會記憶你的關鍵資料(上述三項) 但是已經是暴露於外的風險， 另外，網路刷卡若申請VISA 3D驗證密碼者，因合約上載述， 相當不利於持卡人的條件，也就是密碼保管責任(未印在卡面上)， 屬於實體刷卡時沒有暴露的風險存在，以銀行的保管機制SHA-1也是相對安全， (註:這裡指相對安全也就是非絕對安全，也就是有機會可以破解只是很難， 用超級電腦要猜幾年?) 但是在進行網路刷卡時，由於持卡人使用的電腦設備並非完全安全的環境， (不論是木馬、側錄、等等等都在善良持卡人未知的情況下洩漏3D驗證密碼) 也就是安全機制設計不良，致使容易受外在因素造成洩漏3D密碼， (電腦設備不安全非本人未妥善保管， 此例中原PO應該主張已經善盡維護電腦設備安全並妥善保管密碼的責任 並強調該線上刷卡網頁沒有提供動態鍵盤功能，使密碼受到木馬側錄， 為可歸責於銀行端網頁設計不良所生之密碼洩漏風險，此說法不一定夠有力但可一試) 所以我認為在銀行未設計出更好的驗證方式之前，不要申請3D密碼驗證XD 番外篇------ 動態OTP密碼驗證也是不夠好的設計，現在智慧手機也會有病毒，可預見以後也會有木馬， 並且人在國外要網路刷卡，光收OTP簡訊的漫遊費不用盜刷就夠讓你害怕了~ 不過已經是目前相對好的方式了~(我本人還是不會想用XD) 因為萬一不幸用了還是被盜刷那不是自找苦吃， 現行只要自付三千也算控制風險了， 印象中花旗及其他特定卡好像是失卡零風險(也就是連自付三千都免了!! XD) 只要卡片還在自己手上，都可以主張已妥善保管!! 以上分享個人心得，僅供參考，若有謬誤請不吝指正，謝謝! ※ 引述《qwert999 (人生)》之銘言： : 大家參考 : http://tw.knowledge.yahoo.com/question/question?qid=1105041702503 : 定型化契約中有故意過失免責約款時~其效力如何? : 回答者： 來杯咖啡吧！ ( 實習生 3 級 ) : 依據民法247-1條的規定， : 如果使用定型化契約條款之人預先免時其責任， : 按其情形顯失公平者該部分之條款無效。 : 但是、如果係爭定型化契約是屬於消費關係， : 則依據消費者保護法第12條之規定， : 企業經營者使用免除故意或過失責任約款之定型化契約， : 會被認為屬於違反平等互惠原則而有顯失公平， : 且違反誠信原則而被認為該條款無效。 : 民法第 247-1條 : 依照當事人一方預定用於同類契約之條款而訂定之契約，為左列各款之約定，按其情形顯失公平者，該部分約定無效： : 一　免除或減輕預定契約條款之當事人之責任者。 : 二　加重他方當事人之責任者。 : 三　使他方當事人拋棄權利或限制其行使權利者。 : 四　其他於他方當事人有重大不利益者。 : 消費者保護法第 12 條 : 定型化契約中之條款違反誠信原則，對消費者顯失公平者，無效。 : 定型化契約中之條款有下列情形之一者，推定其顯失公平： : 一　違反平等互惠原則者。 : 二　條款與其所排除不予適用之任意規定之立法意旨顯相矛盾者。 : 三　契約之主要權利或義務，因受條款之限制，致契約之目的難以達成者。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.232.62.216 ※ 編輯: GERRYccc 來自: 118.232.62.216 (06/06 04:16) > -------------------------------------------------------------------------- < 作者: Sany (小美眉) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sun Jun 6 17:12:02 2010 這聽起來好像很危險耶~ 我想在此請教各位, 國泰世華,中國信託,一銀的信用卡, 也是只要輸入這幾樣卡片上有的數字就能在網路上刷嗎? 我是知道中信轉帳是要求要輸入手機簡訊的密碼啦~ 刷卡好像也是(忘了) 那請問另外2家呢? ※ 引述《GERRYccc (月狼)》之銘言： : 其實我認為信用卡或網路交易設計本身就不良， : 因為網路交易最重要的卡號、有效期、後三碼 : 全都印在卡面上，而實體刷卡通常也絕大多數都是交由店員去刷操作 : 雖然以善良管理人來說，他不會記憶你的關鍵資料(上述三項) -- 呼籲：全民抵制責任制　 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.184.1.105 剛打給國泰,他說他們不能取消網路刷卡的功能,我是用master卡的 ※ 編輯: Sany 來自: 111.184.1.105 (06/06 18:29) > -------------------------------------------------------------------------- < 作者: dasein79 (白蓮教教主) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Sun Jun 6 22:06:24 2010 ※ 引述《qwert999 (人生)》之銘言： : http://tw.knowledge.yahoo.com/question/question?qid=1105041702503 : 定型化契約中有故意過失免責約款時~其效力如何? 我個人覺得，這個討論串會發展出來，主要討論的一方不知道下列兩者： 1. 無過失責任 2. 定型化契約跟一般契約的差異 但更有趣的是，另外一方竟然沒想到上面這兩者不是每個人都了解。 但是最重要的是： 1. 當事人放棄審級利益，沒有上訴 2. 原判決不具備約束力，也不能成為法源。如果未來自己遇到此事，就祈禱自己遇到 另外一種見解的法官吧！ 所以，我的結論就是，沒什麼好討論。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 112.104.47.78 > -------------------------------------------------------------------------- < 作者: hoboks (戴爾真嫩) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Mon Jun 7 12:58:11 2010 看大家取消驗證的行動這麼夯 我就趁出門前來補刀一下好了 說明一下為什麼不能接受判決理由說的 "因為SHA-1加密很安全 所以密碼不會外洩" 法院的認定是 SHA-1加密後 密碼無法被反推得知 亦由財團法人聯合信用卡處理中心掛保證 密碼只有持卡人一人得知 看判決是不知道財團法人聯合信用卡處理中心掛了哪些保證 是只有保證說SHA-1非常安全 不會被逆推密碼呢? 還是密碼如果被銀行外洩 財團法人聯合信用卡處理中心要人頭落地? 因為我沒有參與這場官司 所以僅就於SHA-1的安全性與密碼間的關係做小小的討論就好 其他部分沒有充足的證據可以說明 假設真的如同法官認定的 SHA-1加密密碼後超級安全 密碼不會外洩 這種演算法 這種技術 看起來是非常高級的 只有VISA驗證這種高級機構採用這種十足安全的機制 對於持卡人保護已經很足夠了 依照這種邏輯 只要有用到SHA-1技術的程式都是相當安全的 所以我上網隨便找了一個北一女學生的作業 http://tinyurl.com/29x8cpc 裡面剛好也有提到3D驗證 並且作業還是使用SHA-1演算法 剛好跟此例一樣 可以拿來檢驗一下 在附錄一的部分 有使用到SHA-1 我波上附錄一function的程式碼 Sub Login_Click( sender As Object, e As EventArgs ) IfVerify( Account.Text, Password.Text ) Then FormsAuthentication.RedirectFromLoginPage(Account.Text, RememberMe.Checked) Dim hashedPassword As String hashedPassword = _ FormsAuthentication.HashPasswordForStoringInConfigFile(password.Text, "SHA1") Response.Redirect("index.aspx") Else Msg.Text = "帳號或密碼錯誤, 請重新輸入!" End If End Sub 黃色的部分是密碼的明碼 IfVerify是驗證函式 可以看到這邊他是用明碼去驗證 而非使用SHA-1演算後的變數去驗證 而真正用到SHA-1演算法的只有綠色那一行 並且把演算後的值存在區域變數hashedPassword裡面 而因為是區域變數 所以存完以後完全不做任何事情 這個函式就結束了 說白話點 就是為了加密而加密 加密完不做任何事情 我無意攻擊這個程式寫得如何 高中生能寫出這種程式也算很厲害了 在北一女的作業裡面也提到跟判決類似的觀點 ----------------------------------------- 使用雜湊函數SHA-1，將畫面輸入的密碼先予以轉換成160bits後傳送，於系統面亦 將使用者密碼檔中之密碼先行以相同的方式處理後，加以比對以確認其正確性，藉以防範密碼因係明碼而遭他人截獲。 ----------------------------------------- 事實上呢? 比對的程式是用明碼比對的 所以在比對的時候如果被駭客進記憶體去偷密碼 偷到的會是明碼 而非加密後的密碼 我只想歸納出以下這點想法 聯合信用卡處理中心頂多只能掛保證SHA-1加密後無法被反推 但密碼外洩一定跟上述觀點有關? 一個高中生花幾行程式碼 一樣可以寫出使用SHA-1的程式碼 然後呢？持卡人就該信賴這個程式？ 我猜 處理中心也沒在法庭上公開程式碼吧 相關的運作機制都是黑盒子 都給妳們講就好啦 重點在於 有加密總比沒加密好 我自己也常在用線上刷卡 但是發生事情不要亂賴 東西都你們設計的 風險全部由持卡人承擔 鄉民個個都這麼精 會隨便被呼嚨的嗎? 處理中心應該對相關的人員 設備 都是極度的有信心吧 銀行界也不可能請高中生來寫程式 程式裡面絕對不會有任何一個bug 所以發生任何問題 一定都是持卡人的錯 只要沒有持卡人外洩密碼 銀行不會犯下任何一點錯 以銀行界高超的技術 精良的人員 還用了高超的SHA-1演算法 絕對不是高中生寫寫幾行程式可以比擬的 所以請相關持卡人對於銀行要有高度的信心 (最後我還加了這段平衡報導 相關的驗證機構 筆者對妳們不錯吧) ※ 引述《hoboks (戴爾真嫩)》之銘言： : 剛請同事幫我找到這則判決了 : http://tinyurl.com/2ctzbks : 被告申請網路驗證服務時所 : 設定之密碼，係被告依其個人自由意志所決定，旁人無從得 : 知，且該密碼係以SHA-1 加密之不可逆方式儲存於系統內， : 故不會發生資料外洩之情況，亦經財團法人聯合信用卡處理 : 中心以96年6 月21日（96）聯卡商管字第0960400137號函查 : 覆明確，自堪認原告就驗證密碼之安全性已採取相當之防護 : 措施，以確保被告為該驗證密碼之唯一知悉者，在此情況下 : ，被告即成密碼安全之最關鍵控管者，亦為信用卡遭冒用風 : 險之優勢承擔人，故上開約款將他人得知密碼而盜刷之風險 : 歸由被告負擔，亦符合「風險歸於就防阻風險發生具有優勢 : 之人承擔」之原則，尚難認有何不當失衡之處。準此，本件 : 原告以前開約款課予被告妥善保管密碼之義務，並明定使用 : 「密碼」完成之交易，均視為被告同意之交易，而應由被告 : 負清償責任，應無顯失公平之情形，被告辯稱該約款顯失公 : 平而無效云云，尚不足採。 : 說SHA-1可以加密 又安全的人不是我啊 : 大人 灣甕啊 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.193.12.81 ※ 編輯: hoboks 來自: 114.136.93.244 (06/07 15:18) > -------------------------------------------------------------------------- < 作者: DoraeCookie (哆啦餅) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Mon Jun 7 13:43:12 2010 不可逆的加密真的有這麼萬能嗎？ 現在我們所在的PTT所使用的資料庫裡面 每個帳號的密碼就是用類似的函數運算過後儲存的 那是確保站務人員無法取得密碼的方式 但是如果想偷一個人的PTT密碼 除了進到資料庫裡面去偷密碼之外(失敗，只有函數運算後的值，沒有密碼) 還可以在你上站打密碼的時候用側錄程式來偷 不管你用什麼鬼函數去加密運算都好 但是都要密碼來當作運算的起始值 問題出在誰敢保證在輸入密碼的過程中是絕對安全的？ 大家都知道後面的傳輸很安全，問題就是前面那一段安全嗎？ -- 修改一些用詞怪怪不通順的地方 XD -- 我的線上模擬城市，歡迎參觀 http://doracookie.myminicity.com/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.224.55.168 ※ 編輯: DoraeCookie 來自: 61.224.55.168 (06/07 14:39) > -------------------------------------------------------------------------- < 作者: fatcats (心靈律動^^囉 :)) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Mon Jun 7 18:32:50 2010 信用卡就是要方便 如果跟郵局金融卡一樣 多了拔卡並插回的手續 這樣會不會安全的多? 不過網路購物就會變成相對於現在的不方便 如果說可以卡片不在身上就要進行安全的網路購物的話 有沒有可能========================================= 1.那透過網路銀行設定一個一個網路交易開關 每次要網路交易時 除了去銀行開啟網路交易開關 然後網路交易的時候 還要輸入剛剛開啟時跳出來的驗證碼 (用當時電腦IP去搭配隨機參數跑出來的) 皆相同才進行交易 (驗證碼可以設定限3~5分鐘內交易完成 不然失效) 這樣除了可以確認使用者的IP之外 還可以多一個即時驗證手續 2.加密過的指紋小型掃描器 就像一些新筆電有這種鎖一樣 每次網路交易的時候 要插上USB的這個小東西 (現在已經有部分筆電有內建了 未來也許會推廣全部內建?) 然後用自己的手去驗證此筆交易 透過生物特徵進行的驗證 相對的應該也是蠻安全不容易複製的 透過生物特徵+信用卡資料 配上 銀行方面由辦卡時就由內部(不透過網路)建立起一組對應的加密過後的碼 因為加密可以在指紋小型掃描器中進行 那傳輸的時候就完全不會有明碼產生了 不知道這種可能性大不大 反正歹戲拖棚... 讓我們繼續看下去吧... XDDD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 115.43.156.251 ※ 編輯: fatcats 來自: 115.43.156.251 (06/07 18:43) 我覺得現在問題出現了... 如果我們卡版的人早就知道這機制有問題 那發卡組織一定也預料的到會有這一天 現在的關鍵反而變成 在面對大陸銀聯卡的壓力下 發卡組織要怎麼把看似危機的變為轉機 搞不好這個驗證其實本來就只是一個試水溫的幌子... ※ 編輯: fatcats 來自: 115.43.156.251 (06/07 20:04) 剛拜讀完你的大作 ^^ (下面那篇) 第二個除了加密之外...還可以確定是本人... 不像現在 只要知道所有該知道的資訊 家人也可以幫你刷 因為你的手正用於在餐廳吃飯 在客廳的家人就無法通過驗證... 所以應該還是有些差異^^||| ※ 編輯: fatcats 來自: 115.43.156.251 (06/07 22:02) > -------------------------------------------------------------------------- < 作者: Adsmt (如來神漲) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Mon Jun 7 21:53:49 2010 ※ 引述《DoraeCookie (哆啦餅)》之銘言： : 不可逆的加密真的有這麼萬能嗎？ : 現在我們所在的PTT所使用的資料庫裡面 : 每個帳號的密碼就是用類似的函數運算過後儲存的 : 那是確保站務人員無法取得密碼的方式 : 但是如果想偷一個人的PTT密碼 : 除了進到資料庫裡面去偷密碼之外(失敗，只有函數運算後的值，沒有密碼) : 還可以在你上站打密碼的時候用側錄程式來偷 : 不管你用什麼鬼函數去加密運算都好 : 但是都要密碼來當作運算的起始值 : 問題出在誰敢保證在輸入密碼的過程中是絕對安全的？ : 大家都知道後面的傳輸很安全，問題就是前面那一段安全嗎？ 看到大家都在談 SHA-1, 卻沒人提到，真正的傳輸協定是 SSL, 你的疑慮並沒有問 題，前面那一段是安全的。 　　SSL傳輸過程也是被加密過的值，中間即使被側錄或監聽所得到的只是密碼，而非明 碼。雖然可能綁架連線篡改證書，但難度非常高，你必須在目標交易期間完成破解和篡 改，可說幾乎不可能。 　　以目前信用卡認證的方式，要取得對方密碼，大概有以下幾種方式比較有可能： 　　1.p2p 洩密，這就不用說了，個人造業個人擔。 2.密碼太好猜、寫在紙上.....等等，個人造業個人擔。 3.keylogger, 這個是有難度地。你的電腦只會用來輸入密碼嗎？當然不可能，一定 夾雜一大堆無用資訊，要在這些資訊分析出哪一段是密碼並沒那麼容易。 總而言之，以現在的密碼技術，駭客要直接破解取得你的資訊，必須大費週章，而 且還不一定成功，以駭客的觀點來看，他會花大把的時間金錢，結果去取得一張信用卡 資料來刷幾千塊的東西嗎？那不如直接入侵銀行去偷幾十億不是更爽快？ 　　 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.116.222.246 > -------------------------------------------------------------------------- < 作者: DoraeCookie (哆啦餅) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Mon Jun 7 23:30:20 2010 ※ 引述《Adsmt (如來神漲)》之銘言： : 看到大家都在談 SHA-1, 卻沒人提到，真正的傳輸協定是 SSL, 你的疑慮並沒有問 : 題，前面那一段是安全的。 : 　　SSL傳輸過程也是被加密過的值，中間即使被側錄或監聽所得到的只是密碼，而非明 : 碼。雖然可能綁架連線篡改證書，但難度非常高，你必須在目標交易期間完成破解和篡 : 改，可說幾乎不可能。 : 　　以目前信用卡認證的方式，要取得對方密碼，大概有以下幾種方式比較有可能： : 　　1.p2p 洩密，這就不用說了，個人造業個人擔。 : 2.密碼太好猜、寫在紙上.....等等，個人造業個人擔。 : 3.keylogger, 這個是有難度地。你的電腦只會用來輸入密碼嗎？當然不可能，一定 : 夾雜一大堆無用資訊，要在這些資訊分析出哪一段是密碼並沒那麼容易。 : 總而言之，以現在的密碼技術，駭客要直接破解取得你的資訊，必須大費週章，而 : 且還不一定成功，以駭客的觀點來看，他會花大把的時間金錢，結果去取得一張信用卡 : 資料來刷幾千塊的東西嗎？那不如直接入侵銀行去偷幾十億不是更爽快？ 所以你還是誤會我的意思 XD 我的前面一段指的就是【從你敲鍵盤/點滑鼠輸入密碼開始，到使用SSL傳輸之前】 木馬的釋放方式，大概就會像時下流行的線上遊戲盜帳密木馬一般 採用亂槍打鳥的方式，到處亂放木馬，反正遇到對的就會回傳 木馬寫成遇到VISA 3D驗證網頁開啟時就開始回傳必要的資訊並不難 而且現在比較流行的木馬是連帶畫面側錄 簡單說就是對方拿到的資訊就是如同你在看著你電腦螢幕一樣的資訊 在這種模式之下，尚未用SSL傳輸之前，密碼就被人看光光了 話說回來，這還是個人的問題，因為木馬是自己放進來的 不過以現在大多數人對資安的了解/重視程度來說 大概會是富奸的獵人漫畫裡面的名言： 「一個人沒穿衣服站在雪地，但是卻不知道為什麼會冷。」 -- 我的線上模擬城市，歡迎參觀 http://doracookie.myminicity.com/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.168.194.242 > -------------------------------------------------------------------------- < 作者: Adsmt (如來神漲) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Tue Jun 8 03:02:43 2010 ※ 引述《DoraeCookie (哆啦餅)》之銘言： : 所以你還是誤會我的意思 XD : 我的前面一段指的就是【從你敲鍵盤/點滑鼠輸入密碼開始，到使用SSL傳輸之前】 : 木馬的釋放方式，大概就會像時下流行的線上遊戲盜帳密木馬一般 : 採用亂槍打鳥的方式，到處亂放木馬，反正遇到對的就會回傳 : 木馬寫成遇到VISA 3D驗證網頁開啟時就開始回傳必要的資訊並不難 : 而且現在比較流行的木馬是連帶畫面側錄 : 簡單說就是對方拿到的資訊就是如同你在看著你電腦螢幕一樣的資訊 : 在這種模式之下，尚未用SSL傳輸之前，密碼就被人看光光了 : 話說回來，這還是個人的問題，因為木馬是自己放進來的 : 不過以現在大多數人對資安的了解/重視程度來說 : 大概會是富奸的獵人漫畫裡面的名言： : 「一個人沒穿衣服站在雪地，但是卻不知道為什麼會冷。」 我不信你沒打過密碼，最好你打密碼是看到明碼，而不是看到 "*" XD 還有，"遇到VISA 3D驗證網頁開啟時就開始回傳必要的資訊"，這個很難，我想到 方法有 1. 劫持瀏覽器，但這個幾乎不可能。 2. 自動分析過濾封包，那你得劫持作業系統才行，更不可能。 3. 當中間人，這個更難了，你要在對方交易其間劫持並破解、篡改證書，一支自 動程式要寫到這樣可說不可能。 　　4. 造假瀏覽器，取代正常版。那你得先寫出一個幾可亂真的瀏覽器才行，太費功， 難度太高。 　　其實木馬並沒有那麼神，很多木馬只是搜集你電腦的資料，回傳回去，所以和p2p 洩密差不多，一堆人笨笨密碼寫在電腦裡，又中木馬，那只好個人造業個人擔了。 SSL 如果這麼簡單就破，那很多國家的金融體制都要崩解了。駭客一下子就可以駭 走數十億美金遠走高飛。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.169.74.103 > -------------------------------------------------------------------------- < 作者: DoraeCookie (哆啦餅) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Tue Jun 8 08:37:12 2010 ※ 引述《Adsmt (如來神漲)》之銘言： : 我不信你沒打過密碼，最好你打密碼是看到明碼，而不是看到 "*" XD 所以還是持續雞同鴨講 XD 不管看到的是【＊】還是【明碼】 不管用滑鼠去點或是鍵盤去輸入 使用者都必須做"輸入"這個動作 如果用鍵盤去輸入的話，對木馬來說【＊】還是【明碼】都沒差 因為是直接監看電腦後端的輸入訊號部份 如果用滑鼠去點擊輸入，勢必要用螢幕上的小鍵盤之類的東西 那只要能夠監看使用者畫面就可以照樣取得輸入資訊 至於你所說的四個方法根本不用這麼麻煩 只要寫一個開機背景常駐的木馬程式 開機便開始監聽你的網路 當網路連往特定網域即開始紀錄你的鍵盤、滑鼠、螢幕動作就可以達到這個效果 只有寫的好不好，能不能騙過防毒軟體、防火牆不被擋下來的問題 你不需要著重在SSL很安全這件事，因為這本來就是事實 但是重點在於使用者端的電腦部份並不安全 要洩漏密碼不會是在SSL傳輸之後發生，而是之前 根本沒人在談要挑戰SSL，因為挑戰SSL太麻煩＆有更簡單的方法 如果您認為VISA 3D驗證是安全的機制，您可以繼續使用 只是我選擇不使用，因為我沒把握保證我使用的電腦會是安全的 == 補充個小故事，以前在輔系資工的時候，年少輕狂會無聊去駭客論壇玩玩 有一回，不知名的人士丟個螢幕訊息給我，需要飲料架嗎？ 然後我的光碟機拖盤就自己彈出來了 XD -- 我的線上模擬城市，歡迎參觀 http://doracookie.myminicity.com/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.115.177.253 ※ 編輯: DoraeCookie 來自: 59.115.177.253 (06/08 08:52) > -------------------------------------------------------------------------- < 作者: Nando (輕拂的風) 看板: creditcard 標題: Re: [新聞] 信用卡被盜刷 「保密不周」敗訴 時間: Thu Jun 17 20:20:31 2010 前文恕刪 這個3D密碼驗證其實一點都不保密 我常常使用中信Visa或是永豐Visa在網路上買東西 一個月十次跑不掉 結果發現好玩的過程，就是不管是IE或是Firefox到了3D密碼驗證的畫面時候 (自己的電腦 密碼都是自動記憶的)每到驗證畫面我的驗證密碼欄位都是六個黑點 (也就是密碼已經幫我記憶 瀏覽器自動幫我填好了) 我也從來不用滑鼠 到那畫面都是直接按Enter 就直接刷過了 現在還是有很多網路銀行登入密碼可以自動記憶 技術性的東西太複雜我不懂 但是如果密碼這東西都可以自動記憶 我不覺得這種驗證方式的銀行有什麼安全性可言 對於大部分使用者都不是電腦專業而言 銀行的責任也太輕了 什麼中間的過程要加密等等的技術 我覺得Visa的重點抓錯方向 現在的過程跟十年前自動ATM側錄條碼是一樣的 相信大家都記得之前銀行深夜的ATM大門都要刷條碼 結果一堆假條碼機在側錄 還有假側錄機架在ATM的插卡機上 加上攝影機在旁邊側錄按鍵密碼 結果歹徒利用銀行給的機會拼命側錄 當時搞的人心惶惶 一堆人被盜領 銀行一開始也是說密碼是使用者自己洩漏的 要自己負全責 結果盜領的案件越來越多的時候 銀行才坦承自己有疏失 現在晚上進入銀行ATM都不用在大門先過卡 ATM插卡口往外推不讓側錄機有機會卡上去 提款卡也全數改為晶片卡增加動態資訊 降低側錄風險 如果Visa 3D認證可以自動記憶密碼 之後的驗證瀏覽器只按個Enter就可以過卡 那還有什麼機密可言？ 在IE或是Firefox卡號也是自動記憶 日期也是自動記憶 驗證碼也是自動記憶 連進入Visa 3D認證也是自動記憶 (基本上我都沒有在記卡號 每個欄位只要按↓鍵 之前的自動記憶就會跑出來) 整個過程中連個動態的機制都沒有 晶片也不需要 我不懂這3D認證是哪種3D？ Die Die Die嗎？ 全台灣的電腦數量肯定是比ATM多幾千倍 要偷這些自動記憶的資訊易如反掌 我不懂這官司怎麼會輸 如果是我到庭 我只要把瀏覽器的自動記憶打開 叫法官輸入他的卡號跟3D驗證一次 然後我就再示範幫他刷一次卡 側錄軟體或是後門程式根本都用不上 IE或是Firefox的預設功能就可以幫你搞定 更別提那些自動記憶的檔案是多輕易的就可以被偷走 這哪門子的安全驗證？ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.228.57.186