雖然中國信託不是我們的客戶,不過這兩年小弟協助幾家金融業建立開發規範,包括證交所等,以下幾點提供各位參考。
引用:
作者: some
他們會直接進伺服器端抓密碼檔
|
如果能直接進到server,那不是技術問題了,一定是內神通外鬼。
商用的伺服器絕對不會是一個 root 授權到底。
資料庫檔案儲存在資料庫引擎
資料庫引擎安裝在作業系統
作業系統的管理者叫作系統管理者,System Administrator
資料庫引擎管理者叫作 Database Administrator 簡稱 DBA
資料庫資料的擁有者 Database Owner
以上三主是不同的人。
系統管理者沒有權限登入資料庫
資料庫管理者沒有權限更改讀取資料
重要的安全性資料讀取必須審核,存取時還必須要雙控。
引用:
作者: some
舉個例, 用md5編碼的密碼如果是中英及符號混合的md5保證是不可逆, 破不了.
|
請問如果帳號讓您自己設定,您會使用多少的字元?假設 12 個字元好了。
如果 MD5(12個文字+數字) 不可破!
那如果MD5(MD5(數字)+數字) 可破嗎?
而且私密的資料並不會使用 MD5 作雜湊,最起碼水用 SHA-1,如果使用SHA-512 輸出雜湊值可以到 512 bits
另外處理加密問題,絕對不會拿使用者的資料直接加進去,還會在加上系統的特徵值,例如你輸入是 123 ,透過你的帳號知道你的名字,再配合特殊字元處理,要直接由資料庫拿到資料去破,不是那麼容易。
簡單的說,能不能被破解,和使用數字、文字沒有什麼關係。