※ 引述《beagle (紅茶犬)》之銘言： : 做個技術上的討論... : ※ 引述《isaacc (小元宅爸)》之銘言： : : 銀行為了降低風險基本上不會留下您的密碼，他們存入的是hash value : : (至於為何持有hash value卻還可以確認原密碼，請研讀密碼學相關知識) : : 所以說根據數學理論上的分析，只有您才有可能持有該密碼。 : : 這也是為什麼連主管機關都會覺得說持有密碼的人要去負責就對啦 : 我們現在講的是四位數磁條密碼對吧? : 四位數的純數字密碼, 以 hash value 保護原值是無效的, : 只要有 hash value, 可以用一台 Pentium-90 在 10 秒內以暴力法解出來, : 因為總組合數太少, 暴力法試一遍就行了, 這件事我在大學時實驗過。 這邊也做技術上討論 如果真的是四位數的純數字密碼 vs hash value 那麼網路上有很多的hash data database 直接可以用查表法立刻解決 但基本上系統設計一定會附加IV (initial vector) IV的長度可能64bit起跳 另外還有HAMC的作法，進行兩輪hash (RFC 2104, 這篇很老了) 因此系統端其實只有留存IV以及hash value 後端只做比對，完全不留下密碼資料 這個設計很基本，為的也是避免落人口實，並且降低工程師的精神壓力 : 有可能這樣做的只有網路銀行密碼, 英數符號混雜且不能太短, 以提高組合數... : 所以我對 "銀行端沒有存磁條密碼" 非常懷疑... : 存 hash 幾乎等於存密碼, 那為何不直接存密碼? hash 只是多此一舉... : 相信您也是推測, 並非真正見過銀行的資訊系統, : 所以才會照常理認為他們有做現代化的密碼保護措施... 您猜錯了。 版上的朋友接觸到的銀行系統比我多的不太容易，我碰過二十多個國家的銀行系統吧。 另外這真的是很基本的設計，說難聽點白癡才會把密碼留在主系統內。 : 理論上是這樣說, 實際上銀行主機並不在 Internet 上, 而是受到重重保護, : 要取得密碼資料庫沒那麼簡單... 這是IT審計的範圍了，基本上主機資料庫能碰到的人很少，但還是要看管理制度。 : * * * : 晶片卡是有可能不存密碼在銀行端的, 而是做為晶片的 PIN code, (有可能而已) : 如此你的 6-12 位數密碼只有晶片知道, 用來開啟晶片的下一層加密機制... : 這部份機制我不確定台灣的晶片卡是如何做的... : 老實說晶片卡不是不能偽造, 這我很清楚, 但逆向工程和偽造的成本之高, : 只能說如果真的發生, 應該是有大型財團介入... 這段離題了，不過資料其實還真的找得到。 晶片卡的重點是hash value不會經過網路傳輸，傳輸的都是session key 而密碼驗證的部分都在晶片中完成，晶片的安全規格也有滿足某種保護標準 所以就算是被測錄，也沒有被製作偽卡的問題，除非直接對晶片下手 這是當年要花大手筆全國急著一起換卡的原因，目前也沒有大型案例產生 但也因為國內晶片卡標準並非國際認可 因此大家出國時，只能用磁條密碼，而不能用晶片密碼 所以反而有被測錄製造偽卡(磁條卡)的風險.... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.217.147.138