中國信託真的很瞎，早晚資安問題會上新聞頭條

[mushroom]

引用:

作者: seesawgame

台灣最早使用的可能是郵局
我很早在 http://webatm.post.gov.tw 上登入時就有了
但其他的銀行那時候還沒有這樣的功能

這個網頁 http://webatm.post.gov.tw 提到的應該是金融卡 + 讀卡機。

動態密碼機是不用連線的，外觀看起來就像小型計算機。據說機子上的程式有一個函數，有很多參數，這些參數只有密碼機和網路銀行主機各有一份。所以兩邊可以推算出一樣的密碼來核對；時間也是其中一項參數，所以先偷按抄起來也沒用。


竟然幫兆豐推業務起來，應該叫襄理發獎金給我才是。

[twnhostCom]

引用:

作者: mushroom

這個網頁 http://webatm.post.gov.tw 提到的應該是金融卡 + 讀卡機。

動態密碼機是不用連線的，外觀看起來就像小型計算機。據說機子上的程式有一個函數，有很多參數，這些參數只有密碼機和網路銀行主機各有一份。所以兩邊可以推算出一樣的密碼來核對；時間也是其中一項參數，所以先偷按抄起來也沒用。


竟然幫兆豐推業務起來，應該叫襄理發獎金給我才是。

我記得先前國外還有那種每小時自動更換密碼的
比較擔心的是密碼機如果遺失被偷，還是有一定的風險的

[some]

引用:

作者: dmwc

我是沒用過這家，但別家的網路銀行，只要密碼錯了幾次，網銀帳戶就會被鎖住

就算知道密碼，進去網銀後，也是沒辦法對非約定帳號轉帳，網銀現在應該只有對帳功能，有些網銀高檔一點，可以放ATM卡進去執行預約轉帳

反之我覺得國泰世華網銀密碼就太過火，代號要有英文+數字，密碼要英文+數字+符號，不過現在他們可以改用金融卡登入網銀，從極端麻煩變成相當便利

真正的hacker 是不會用web interface在try密碼的
他們會直接進伺服器端抓密碼檔
舉個例, 用md5編碼的密碼如果是中英及符號混合的md5保證是不可逆, 破不了.
但已經知道是純數字的密碼檔, hacker 只要先run 6-12位數字的md5字典檔與密碼檔比對, 就可以得知真正的密碼.

我沒相關的技術, 但對於黯此道的hacker來說，中國信託的密碼機制鐵定會被破解, 只是不知道有沒有真正的高手要去行動罷了.

[Ricado]

雖然中國信託不是我們的客戶，不過這兩年小弟協助幾家金融業建立開發規範，包括證交所等，以下幾點提供各位參考。

引用:

作者: some

他們會直接進伺服器端抓密碼檔

如果能直接進到server，那不是技術問題了，一定是內神通外鬼。
商用的伺服器絕對不會是一個 root 授權到底。
資料庫檔案儲存在資料庫引擎
資料庫引擎安裝在作業系統
作業系統的管理者叫作系統管理者，System Administrator
資料庫引擎管理者叫作 Database Administrator 簡稱 DBA
資料庫資料的擁有者 Database Owner
以上三主是不同的人。
系統管理者沒有權限登入資料庫
資料庫管理者沒有權限更改讀取資料

重要的安全性資料讀取必須審核，存取時還必須要雙控。

引用:

作者: some

舉個例, 用md5編碼的密碼如果是中英及符號混合的md5保證是不可逆, 破不了.

請問如果帳號讓您自己設定，您會使用多少的字元？假設 12 個字元好了。
如果 MD5(12個文字+數字) 不可破！
那如果MD5(MD5(數字)+數字) 可破嗎？

而且私密的資料並不會使用 MD5 作雜湊，最起碼水用 SHA-1，如果使用SHA-512 輸出雜湊值可以到 512 bits

另外處理加密問題，絕對不會拿使用者的資料直接加進去，還會在加上系統的特徵值，例如你輸入是 123 ，透過你的帳號知道你的名字，再配合特殊字元處理，要直接由資料庫拿到資料去破，不是那麼容易。

簡單的說，能不能被破解，和使用數字、文字沒有什麼關係。

[roger]

我的中國信託信用卡已經剪掉很久了
因為感覺上他們的法務部門比較強勢 (曾有朋友有過經驗)

但是帳戶我是有留著用
因為7-11都可存提款蠻方便的

[twnhostCom]

引用:

作者: Ricado

雖然中國信託不是我們的客戶，不過這兩年小弟協助幾家金融業建立開發規範，包括證交所等，以下幾點提供各位參考。



如果能直接進到server，那不是技術問題了，一定是內神通外鬼。
商用的伺服器絕對不會是一個 root 授權到底。
資料庫檔案儲存在資料庫引擎
資料庫引擎安裝在作業系統
作業系統的管理者叫作系統管理者，System Administrator
資料庫引擎管理者叫作 Database Administrator 簡稱 DBA
資料庫資料的擁有者 Database Owner
以上三主是不同的人。
系統管理者沒有權限登入資料庫
資料庫管理者沒有權限更改讀取資料

重要的安全性資料讀取必須審核，存取時還必須要雙控。



請問如果帳號讓您自己設定，您會使用多少的字元？假設 12 個字元好了。
如果 MD5(12個文字+數字) 不可破！
那如果MD5(MD5(數字)+數字) 可破嗎？

而且私密的資料並不會使用 MD5 作雜湊，最起碼水用 SHA-1，如果使用SHA-512 輸出雜湊值可以到 512 bits

另外處理加密問題，絕對不會拿使用者的資料直接加進去，還會在加上系統的特徵值，例如你輸入是 123 ，透過你的帳號知道你的名字，再配合特殊字元處理，要直接由資料庫拿到資料去破，不是那麼容易。

簡單的說，能不能被破解，和使用數字、文字沒有什麼關係。

專業的分享

我又上到寶貴的一課！

謝謝

[yuan691014]

小弟的一點點使用經驗

論靈活度的話，中信是很好的選擇
沒有轉帳約定帳戶限制，網銀的功能也夠用
因為沒什麼錢，所以還沒擔心安全問題

動態密碼機第一銀行很久以前就有了
但它的網銀不能轉非約定帳戶
可以說等於沒有網路轉帳功能

安全跟靈活好像難兩全

[Ricado]

引用:

作者: yuan691014

動態密碼機第一銀行很久以前就有了

動態密碼機只能阻擋鍵盤側錄動作，而且是有專利的，這個概念很好，不過並不是那麼牢不可破。

當您使用鍵盤輸入時，鍵盤側錄程式可以攔截到鍵盤的事件，將您的動作記錄下來後，利用木馬程式傳回伺服器。

進化一：使用螢幕鍵盤，當您使用滑鼠案件時，只能攔截到 mouse_click 的事件。
缺點：可以依據滑鼠點的位置判斷字元。

進化二：使用動態件盤，每次排列的位置都不一樣，當您使用滑鼠案件時，只能攔截到 mouse_click 的事件，而且無法透過位置判斷是哪個字。
可能漏洞：無法攔截螢幕測錄。直接螢幕拍照存證。

進化三：動態密碼，又稱一次密碼，每次登入時，透過手機傳遞一組密碼。

[哈啦]

那請問一下，木馬偵測的東西，如果我是用copy and paste一組數字，對方能因而知道我貼了什麼數字上去嗎？

[Ricado]

引用:

作者: 哈啦

那請問一下，木馬偵測的東西，如果我是用copy and paste一組數字，對方能因而知道我貼了什麼數字上去嗎？

所謂 copy 事實上是將內容複製到系統的剪貼布，當您使用 paste 的時候，程式就到剪貼布中把資料複製過來，所以您才能不斷的貼上，除非你又複製了其他東西，置換了剪貼布裡的內容。

所以... 木馬程式當然也可以到剪貼布複製您的資料。這個比動態鍵盤還好破解。

其實除非中了木馬，或是真的內神通外鬼，目前的網銀，要由網頁直接登入，只能用猜的方式。個人能做的就是降低被猜中的機會，另外就是限制網銀的功能。
被猜中的機會 6~12 個字，注意喔不是 6 個，也不是 12 個，使用變動長度的好處是多一項安全機制。
比較：
密碼固定 4 碼，猜中機會 10x10x10x10

變動密碼 6~12，必須先猜對長度，可能性 (10的6次方+10的7次方....10的12次方)
加上帳號也是變動，所以可性就是
(10的6次方+10的7次方....10的12次方)X(10的6次方+10的7次方....10的12次方)
如果沒有提示，只給三次機會，不敢說不可能猜對，但至少分母再往上加，也沒太大意義，反而限制了未來的一些發展，例如語音系統與網銀的統一。