超级军网想问下银行密码是以md5码存储的么?
来源:百度文库 编辑:超级军网 时间:2024/04/29 03:18:29
如题,不用明文是肯定的,但如果是用md5码存储也挺可怕的。百度了一下md5码,虽然比较安全,但是那是建立在密码位数比较多且组合复杂的情况下,但是银行卡那悲催的6位纯数字密码按百科的说法可以轻松用字典法破解。这下真有点担心了,安全起见还是建议大家先换密码吧如题,不用明文是肯定的,但如果是用md5码存储也挺可怕的。百度了一下md5码,虽然比较安全,但是那是建立在密码位数比较多且组合复杂的情况下,但是银行卡那悲催的6位纯数字密码按百科的说法可以轻松用字典法破解。这下真有点担心了,安全起见还是建议大家先换密码吧
真以为银行的密码保护设计会不如“百度一下”的水平么……
真以为银行对敏感数据的保护只有加密这一条么……
还是先等消息验证之后再操这份心吧。
真以为银行对敏感数据的保护只有加密这一条么……
还是先等消息验证之后再操这份心吧。
u0str 发表于 2011-12-29 20:35 
真以为银行的密码保护设计会不如“百度一下”的水平么……
真以为银行的用户资料会只有数据加密这一条么… ...
这是百度一下的水平?你随便让人百度一下看看能不能破解?搞清楚,难度在于如何突破银行的数据库搞到那些md5码
再说并不是md5码不安全,而是6位纯数字的md5码不安全。谢谢
真以为银行的密码保护设计会不如“百度一下”的水平么……
真以为银行的用户资料会只有数据加密这一条么… ...
这是百度一下的水平?你随便让人百度一下看看能不能破解?搞清楚,难度在于如何突破银行的数据库搞到那些md5码
再说并不是md5码不安全,而是6位纯数字的md5码不安全。谢谢
xuwenyc 发表于 2011-12-29 20:38
这是百度一下的水平?你随便让人百度一下看看能不能破解?搞清楚,难度在于如何突破银行的数据库搞到那些 ...
密码中可以加入银行的混淆串再md5,比如卡号,卡内部id,等等。。。
这是百度一下的水平?你随便让人百度一下看看能不能破解?搞清楚,难度在于如何突破银行的数据库搞到那些 ...
密码中可以加入银行的混淆串再md5,比如卡号,卡内部id,等等。。。
密码中可以加入银行的混淆串再md5,比如卡号,卡内部id,等等。。。
如果这样的话安全性倒是提高了,所以我想听到的辟谣就是bank做出类似的让人信服的解释。毕竟这么大的事为了顾忌影响bank隐瞒事实得到可能性是有的,像之前的辟谣就没有说服力
如果这样的话安全性倒是提高了,所以我想听到的辟谣就是bank做出类似的让人信服的解释。毕竟这么大的事为了顾忌影响bank隐瞒事实得到可能性是有的,像之前的辟谣就没有说服力
关系到银行的事可不是什么小事
银行的安全策略很全面。
除了复杂的加密外,口令认证系统也是做了各种防暴力破解的,比如24小时内只允许连续几次输错口令等。
除了复杂的加密外,口令认证系统也是做了各种防暴力破解的,比如24小时内只允许连续几次输错口令等。
md5也无所谓,只要在最底层密码比对时限制错误次数,就可以了,就像我姓什么你猜三次,而且你还不知道我是哪国人,你怎么猜
强烈要求银行公开算法
xuwenyc 发表于 2011-12-29 20:51
如果这样的话安全性倒是提高了,所以我想听到的辟谣就是bank做出类似的让人信服的解释。毕竟这么大的事为 ...
很高,因为加入混淆的字符串可以是这个卡在数据库内部分配的id,这个id不会保存在磁卡的磁条上。
如果这样的话安全性倒是提高了,所以我想听到的辟谣就是bank做出类似的让人信服的解释。毕竟这么大的事为 ...
很高,因为加入混淆的字符串可以是这个卡在数据库内部分配的id,这个id不会保存在磁卡的磁条上。
oldmht 发表于 2011-12-29 21:08
md5也无所谓,只要在最底层密码比对时限制错误次数,就可以了,就像我姓什么你猜三次,而且你还不知道我是哪 ...
你根本不知道破解的原理。。。。。请自行百科md5
md5也无所谓,只要在最底层密码比对时限制错误次数,就可以了,就像我姓什么你猜三次,而且你还不知道我是哪 ...
你根本不知道破解的原理。。。。。请自行百科md5
渺小的人 发表于 2011-12-29 21:21
很高,因为加入混淆的字符串可以是这个卡在数据库内部分配的id,这个id不会保存在磁卡的磁条上。
但即使这样,混淆的字符串是数字还是字符?密码+混淆字符串有多少位?总之银行之前的说法让人很不放心,我希望辟谣就该用心辟谣,而不是随意敷衍群众
很高,因为加入混淆的字符串可以是这个卡在数据库内部分配的id,这个id不会保存在磁卡的磁条上。
但即使这样,混淆的字符串是数字还是字符?密码+混淆字符串有多少位?总之银行之前的说法让人很不放心,我希望辟谣就该用心辟谣,而不是随意敷衍群众
强烈要求银行公开算法、
又或者他展示一下密文最好,不展示都是敷衍,
又或者他展示一下密文最好,不展示都是敷衍,
也许是某种Hash函数,但肯定不会是MD5,MD5的安全性不够应用在金融领域。
另外,科普一个小知识:Hash不是加密算法,因为加密算法必须是可逆的。
另外,科普一个小知识:Hash不是加密算法,因为加密算法必须是可逆的。
渺小的人 发表于 2011-12-29 20:44
密码中可以加入银行的混淆串再md5,比如卡号,卡内部id,等等。。。
应该说总是有规律的吧。如果破解者持有不少已知密码的卡号。再去破解应该更容易了吧。
密码中可以加入银行的混淆串再md5,比如卡号,卡内部id,等等。。。
应该说总是有规律的吧。如果破解者持有不少已知密码的卡号。再去破解应该更容易了吧。
银行领域的安全措施要高很多
如果银行密码大范围丢失这个都涉及到国家金融安全的高度了
那黑客只偷密码是智商问题不是技术问题
当然现在广泛使用云计算这种方式不知道银行也在应用这方面的系统,反正我对云计算的这种方式安全性一直持保留态度
银行领域的安全措施要高很多
如果银行密码大范围丢失这个都涉及到国家金融安全的高度了
那黑客只偷密码是智商问题不是技术问题
当然现在广泛使用云计算这种方式不知道银行也在应用这方面的系统,反正我对云计算的这种方式安全性一直持保留态度
MD5一点也不安全,SHA-1也很快就被淘汰了
现在再推SHA-256或更牛x的算法
银行的安全不会单纯依靠一个密码的,一般都是结合令牌或口令卡、证书进行的,,
国家对银行系统的安全,要求很严格的,安全审计也多
当然依然会有些银行做的很搓。。不过,一般黑客不会去动银行系统,这个是会被抓的,,抓走就是5年起
现在再推SHA-256或更牛x的算法
银行的安全不会单纯依靠一个密码的,一般都是结合令牌或口令卡、证书进行的,,
国家对银行系统的安全,要求很严格的,安全审计也多
当然依然会有些银行做的很搓。。不过,一般黑客不会去动银行系统,这个是会被抓的,,抓走就是5年起
银行数据库就算用明文保存密码又怎么了?难道还有人能从外部突破获取这些信息吗?如果是内部人动手,什么算法都是浮云。
aphis 发表于 2011-12-29 23:02
银行数据库就算用明文保存密码又怎么了?难道还有人能从外部突破获取这些信息吗?如果是内部人动手,什么算 ...
理论上通过外部突破是可以的
但是需要大量的硬件以及人力投入
有这精神突破了修改数据库转钱就行,还偷密码那是有病
银行数据库就算用明文保存密码又怎么了?难道还有人能从外部突破获取这些信息吗?如果是内部人动手,什么算 ...
理论上通过外部突破是可以的
但是需要大量的硬件以及人力投入
有这精神突破了修改数据库转钱就行,还偷密码那是有病
一天输错三次密码就锁定卡号了,要凭身份证到柜台重置密码,怎么破?
swsky 发表于 2011-12-29 23:05
理论上通过外部突破是可以的
但是需要大量的硬件以及人力投入
如何突破呢?密码连续错几次就锁卡了,不给你机会玩暴力。
swsky 发表于 2011-12-29 23:05
理论上通过外部突破是可以的
但是需要大量的硬件以及人力投入
如何突破呢?密码连续错几次就锁卡了,不给你机会玩暴力。
aphis 发表于 2011-12-29 23:12
如何突破呢?银行的数据库并没有连接到公网,想跟它扯上关系只能是伪造金融终端的交易报文。但是任何交易 ...
原来上海还有人下水道接证交所的电缆
另外现在无线局域网络的大规模使用其实也是一个隐患
还有你说的不对,真正要黑终端不难,难的是怎么样神不知鬼不觉的把钱转走不留痕迹
如何突破呢?银行的数据库并没有连接到公网,想跟它扯上关系只能是伪造金融终端的交易报文。但是任何交易 ...
原来上海还有人下水道接证交所的电缆
另外现在无线局域网络的大规模使用其实也是一个隐患
还有你说的不对,真正要黑终端不难,难的是怎么样神不知鬼不觉的把钱转走不留痕迹
银行还是比较可靠的,况且柜台取钱要有身份证。。网银有要动态口令。。ATM倒是可以造张卡但是取钱还会被拍下来。。光有密码用处不大
我以前做过的一个银行系统用DES加密口令,加解密使用加密机,减低一点要求也可以用软件。
MD5、SHA1不是加密算法,而是散列算法,不可逆,就是说从散列结果无法逆推到原文,多用于操作系统的用户口令,银行一般不大会这样做,因为有时是需要密码原文的。
用散列算法保存口令,其实是给破解大开方便之门,散列算法运算量太小了,很容易通过字典法试出原文。
MD5、SHA1不是加密算法,而是散列算法,不可逆,就是说从散列结果无法逆推到原文,多用于操作系统的用户口令,银行一般不大会这样做,因为有时是需要密码原文的。
用散列算法保存口令,其实是给破解大开方便之门,散列算法运算量太小了,很容易通过字典法试出原文。
swsky 发表于 2011-12-29 23:05
理论上通过外部突破是可以的
但是需要大量的硬件以及人力投入
银行用的是专门的网络,不走公网,即使侵入,也很难破掉加密算法。
理论上通过外部突破是可以的
但是需要大量的硬件以及人力投入
银行用的是专门的网络,不走公网,即使侵入,也很难破掉加密算法。
swsky 发表于 2011-12-29 22:58
银行领域的安全措施要高很多
如果银行密码大范围丢失这个都涉及到国家金融安全的高度了
银行有钱,不怕花高价买大机,安全性更重要,云计算根本看不上眼。
银行领域的安全措施要高很多
如果银行密码大范围丢失这个都涉及到国家金融安全的高度了
银行有钱,不怕花高价买大机,安全性更重要,云计算根本看不上眼。
壮东风 发表于 2011-12-30 00:56
银行用的是专门的网络,不走公网,即使侵入,也很难破掉加密算法。
我只是打几个比方
当然现在黑客手段比我说的要丰富许多
其实真不用破解加密算法,只要想办法获得管理权限即可,当然这个不是一台普通电脑可以解决的,起码是N多台计算机长期监控计算才有可能获得系统管理员密码,所以理论上只要能联上内部网络就有可能,当然只是理论上。
一般的黑客也负担不起这样大的投入。
银行用的是专门的网络,不走公网,即使侵入,也很难破掉加密算法。
我只是打几个比方
当然现在黑客手段比我说的要丰富许多
其实真不用破解加密算法,只要想办法获得管理权限即可,当然这个不是一台普通电脑可以解决的,起码是N多台计算机长期监控计算才有可能获得系统管理员密码,所以理论上只要能联上内部网络就有可能,当然只是理论上。
一般的黑客也负担不起这样大的投入。
xianghui 发表于 2011-12-29 22:26
强烈要求银行公开算法、
又或者他展示一下密文最好,不展示都是敷衍,
原来小惠也是个高手啊
你们都是学这个的哦?
强烈要求银行公开算法、
又或者他展示一下密文最好,不展示都是敷衍,
原来小惠也是个高手啊你们都是学这个的哦?
LZ你要给大家一个链接啊,我百度N多页,都十多页了,都没有看到说银行用的是MD5啊
swsky 发表于 2011-12-30 01:12
我只是打几个比方
当然现在黑客手段比我说的要丰富许多
独立网络,物理隔离,黑客再牛也没用吧。
我只是打几个比方
当然现在黑客手段比我说的要丰富许多
独立网络,物理隔离,黑客再牛也没用吧。
壮东风 发表于 2011-12-30 00:53
我以前做过的一个银行系统用DES加密口令,加解密使用加密机,减低一点要求也可以用软件。
MD5、SHA1不是加 ...
DES做验证不如md5,如果MD5可以用字典法硬破解,des的密钥问题更大,密钥要直接保存到应用里。一旦泄漏广泛泄漏。md5如果强迫密文长度,用字典法还是很困难的,再加上限制验证次数。
我以前做过的一个银行系统用DES加密口令,加解密使用加密机,减低一点要求也可以用软件。
MD5、SHA1不是加 ...
DES做验证不如md5,如果MD5可以用字典法硬破解,des的密钥问题更大,密钥要直接保存到应用里。一旦泄漏广泛泄漏。md5如果强迫密文长度,用字典法还是很困难的,再加上限制验证次数。
8I9934 发表于 2011-12-29 22:54
应该说总是有规律的吧。如果破解者持有不少已知密码的卡号。再去破解应该更容易了吧。
一张磁条卡不光光只有一个卡号,在初始化这张卡时一般还会给他随机分配个id,而且这个id不会以任何形式暴露在磁卡上。如果你能拿到这个id,那么恭喜你,你已经进入数据库了,其他的都多余了
应该说总是有规律的吧。如果破解者持有不少已知密码的卡号。再去破解应该更容易了吧。
一张磁条卡不光光只有一个卡号,在初始化这张卡时一般还会给他随机分配个id,而且这个id不会以任何形式暴露在磁卡上。如果你能拿到这个id,那么恭喜你,你已经进入数据库了,其他的都多余了
壮东风 发表于 2011-12-30 00:53
我以前做过的一个银行系统用DES加密口令,加解密使用加密机,减低一点要求也可以用软件。
MD5、SHA1不是加 ...
DES加密是对称加密,密钥的保持就是个大问题,保持在应用程序中的密钥非常容易被破解。而且des密钥一旦泄漏,就等于统统泄漏了。所以在软件中用des比较傻逼。md5 在密文够复杂的情况下,用字典法破解很难,如果再限制验证数,基本不可能被破解,当然,如果密码很简单如111 222 神马的,就当我没说
我以前做过的一个银行系统用DES加密口令,加解密使用加密机,减低一点要求也可以用软件。
MD5、SHA1不是加 ...
DES加密是对称加密,密钥的保持就是个大问题,保持在应用程序中的密钥非常容易被破解。而且des密钥一旦泄漏,就等于统统泄漏了。所以在软件中用des比较傻逼。md5 在密文够复杂的情况下,用字典法破解很难,如果再限制验证数,基本不可能被破解,当然,如果密码很简单如111 222 神马的,就当我没说
壮东风 发表于 2011-12-30 00:53
我以前做过的一个银行系统用DES加密口令,加解密使用加密机,减低一点要求也可以用软件。
MD5、SHA1不是加 ...
简单说吧 des 加密密码还不如md5 ,如果md5是用字典法暴力破解,des的密钥泄漏问题相比显的就更大了
我以前做过的一个银行系统用DES加密口令,加解密使用加密机,减低一点要求也可以用软件。
MD5、SHA1不是加 ...
简单说吧 des 加密密码还不如md5 ,如果md5是用字典法暴力破解,des的密钥泄漏问题相比显的就更大了
内网和外网有任何关系吗。。。
不要用网银就好了。
渺小的人 发表于 2011-12-30 09:37
简单说吧 des 加密密码还不如md5 ,如果md5是用字典法暴力破解,des的密钥泄漏问题相比显的就更大了
如果用加密机的话,密钥一次性上载,退一步用软件,密钥也会作严密保护。密钥还分级别,定时更换。
暴力破解MD5是比较容易的,但穷举DES密钥几乎是不可能的任务,2^56的可能。
两者破解方式不同,MD5是尝试明文,DES是尝试密钥。
编两个程序就能看出两者之间巨大的计算量差异。
DES还可以使用Triple的方式,密钥扩展为128位。
现在DES已经慢慢推出应用领域了,AES是更好的选择。
简单说吧 des 加密密码还不如md5 ,如果md5是用字典法暴力破解,des的密钥泄漏问题相比显的就更大了
如果用加密机的话,密钥一次性上载,退一步用软件,密钥也会作严密保护。密钥还分级别,定时更换。
暴力破解MD5是比较容易的,但穷举DES密钥几乎是不可能的任务,2^56的可能。
两者破解方式不同,MD5是尝试明文,DES是尝试密钥。
编两个程序就能看出两者之间巨大的计算量差异。
DES还可以使用Triple的方式,密钥扩展为128位。
现在DES已经慢慢推出应用领域了,AES是更好的选择。
渺小的人 发表于 2011-12-30 09:35
DES加密是对称加密,密钥的保持就是个大问题,保持在应用程序中的密钥非常容易被破解。而且des密钥一旦泄 ...
对密钥的保护你多虑了,密钥不是写在应用里的,不要把某些网站的做法想当然地搬到银行上去。
应用开发人员不能接触线上环境,维护人员不了解算法和密钥,密钥植入都是专人做的,而且密钥本身也有口令保护,业务主管和技术主管各掌握一部分。
DES加密是对称加密,密钥的保持就是个大问题,保持在应用程序中的密钥非常容易被破解。而且des密钥一旦泄 ...
对密钥的保护你多虑了,密钥不是写在应用里的,不要把某些网站的做法想当然地搬到银行上去。
应用开发人员不能接触线上环境,维护人员不了解算法和密钥,密钥植入都是专人做的,而且密钥本身也有口令保护,业务主管和技术主管各掌握一部分。
渺小的人 发表于 2011-12-30 09:31
一张磁条卡不光光只有一个卡号,在初始化这张卡时一般还会给他随机分配个id,而且这个id不会以任何形式暴 ...
我不看好数据库真的保存得很好。
一张磁条卡不光光只有一个卡号,在初始化这张卡时一般还会给他随机分配个id,而且这个id不会以任何形式暴 ...
我不看好数据库真的保存得很好。
8I9934 发表于 2011-12-30 10:49
我不看好数据库真的保存得很好。
加密算法的意义就在于,你看到了密文,但无法破解。
我不看好数据库真的保存得很好。
加密算法的意义就在于,你看到了密文,但无法破解。