做個技術上的討論... ※ 引述《isaacc (小元宅爸)》之銘言： : 銀行為了降低風險基本上不會留下您的密碼，他們存入的是hash value : (至於為何持有hash value卻還可以確認原密碼，請研讀密碼學相關知識) : 所以說根據數學理論上的分析，只有您才有可能持有該密碼。 : 這也是為什麼連主管機關都會覺得說持有密碼的人要去負責就對啦 我們現在講的是四位數磁條密碼對吧? 四位數的純數字密碼, 以 hash value 保護原值是無效的, 只要有 hash value, 可以用一台 Pentium-90 在 10 秒內以暴力法解出來, 因為總組合數太少, 暴力法試一遍就行了, 這件事我在大學時實驗過。 有可能這樣做的只有網路銀行密碼, 英數符號混雜且不能太短, 以提高組合數... 所以我對 "銀行端沒有存磁條密碼" 非常懷疑... 存 hash 幾乎等於存密碼, 那為何不直接存密碼? hash 只是多此一舉... 相信您也是推測, 並非真正見過銀行的資訊系統, 所以才會照常理認為他們有做現代化的密碼保護措施... 理論上是這樣說, 實際上銀行主機並不在 Internet 上, 而是受到重重保護, 要取得密碼資料庫沒那麼簡單... * * * 晶片卡是有可能不存密碼在銀行端的, 而是做為晶片的 PIN code, (有可能而已) 如此你的 6-12 位數密碼只有晶片知道, 用來開啟晶片的下一層加密機制... 這部份機制我不確定台灣的晶片卡是如何做的... 老實說晶片卡不是不能偽造, 這我很清楚, 但逆向工程和偽造的成本之高, 只能說如果真的發生, 應該是有大型財團介入... -- 桃樂絲: 可是, 如果你沒有頭腦, 為什麼會說話? 稻草人: ㄝ, 我也不知... 但是有些人沒有頭腦也能說超～多話呢。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.135.254.153