網域名稱俱樂部


返回   網域名稱俱樂部 > 電腦與網路技術 > 電腦網路相關技術 > 一般軟體與網路使用討論

回覆
 
主題工具
  #11  
舊 2010-01-07, 10:12 PM
mushroom mushroom 目前離線
進階會員
 
註冊日期: 2006-01-09
文章: 315
預設

引用:
作者: seesawgame 查看文章
台灣最早使用的可能是郵局
我很早在 http://webatm.post.gov.tw 上登入時就有了
但其他的銀行那時候還沒有這樣的功能
這個網頁 http://webatm.post.gov.tw 提到的應該是金融卡 + 讀卡機。

動態密碼機是不用連線的,外觀看起來就像小型計算機。據說機子上的程式有一個函數,有很多參數,這些參數只有密碼機和網路銀行主機各有一份。所以兩邊可以推算出一樣的密碼來核對;時間也是其中一項參數,所以先偷按抄起來也沒用。


竟然幫兆豐推業務起來,應該叫襄理發獎金給我才是。
__________________
線上字典
回覆時引用此篇文章
  #12  
舊 2010-01-07, 11:15 PM
twnhostCom twnhostCom 目前離線
進階會員
 
註冊日期: 2009-08-06
文章: 112
預設

引用:
作者: mushroom 查看文章
這個網頁 http://webatm.post.gov.tw 提到的應該是金融卡 + 讀卡機。

動態密碼機是不用連線的,外觀看起來就像小型計算機。據說機子上的程式有一個函數,有很多參數,這些參數只有密碼機和網路銀行主機各有一份。所以兩邊可以推算出一樣的密碼來核對;時間也是其中一項參數,所以先偷按抄起來也沒用。


竟然幫兆豐推業務起來,應該叫襄理發獎金給我才是。
我記得先前國外還有那種每小時自動更換密碼的
比較擔心的是密碼機如果遺失被偷,還是有一定的風險的
回覆時引用此篇文章
  #13  
舊 2010-01-07, 11:28 PM
some some 目前離線
進階會員
 
註冊日期: 2003-09-23
住址: 屏東
文章: 3,608
預設

引用:
作者: dmwc 查看文章
我是沒用過這家,但別家的網路銀行,只要密碼錯了幾次,網銀帳戶就會被鎖住

就算知道密碼,進去網銀後,也是沒辦法對非約定帳號轉帳,網銀現在應該只有對帳功能,有些網銀高檔一點,可以放ATM卡進去執行預約轉帳

反之我覺得國泰世華網銀密碼就太過火,代號要有英文+數字,密碼要英文+數字+符號,不過現在他們可以改用金融卡登入網銀,從極端麻煩變成相當便利
真正的hacker 是不會用web interface在try密碼的
他們會直接進伺服器端抓密碼檔
舉個例, 用md5編碼的密碼如果是中英及符號混合的md5保證是不可逆, 破不了.
但已經知道是純數字的密碼檔, hacker 只要先run 6-12位數字的md5字典檔與密碼檔比對, 就可以得知真正的密碼.

我沒相關的技術, 但對於黯此道的hacker來說,中國信託的密碼機制鐵定會被破解, 只是不知道有沒有真正的高手要去行動罷了.
__________________
nice to meet you                   flickr
回覆時引用此篇文章
  #14  
舊 2010-01-08, 12:56 PM
Ricado 的頭像
Ricado Ricado 目前離線
進階會員
 
註冊日期: 2004-07-13
住址: 蕃薯島,打狗城
文章: 4,454
預設

雖然中國信託不是我們的客戶,不過這兩年小弟協助幾家金融業建立開發規範,包括證交所等,以下幾點提供各位參考。

引用:
作者: some 查看文章
他們會直接進伺服器端抓密碼檔
如果能直接進到server,那不是技術問題了,一定是內神通外鬼。
商用的伺服器絕對不會是一個 root 授權到底。
資料庫檔案儲存在資料庫引擎
資料庫引擎安裝在作業系統
作業系統的管理者叫作系統管理者,System Administrator
資料庫引擎管理者叫作 Database Administrator 簡稱 DBA
資料庫資料的擁有者 Database Owner
以上三主是不同的人。
系統管理者沒有權限登入資料庫
資料庫管理者沒有權限更改讀取資料

重要的安全性資料讀取必須審核,存取時還必須要雙控。


引用:
作者: some 查看文章
舉個例, 用md5編碼的密碼如果是中英及符號混合的md5保證是不可逆, 破不了.
請問如果帳號讓您自己設定,您會使用多少的字元?假設 12 個字元好了。
如果 MD5(12個文字+數字) 不可破!
那如果MD5(MD5(數字)+數字) 可破嗎?

而且私密的資料並不會使用 MD5 作雜湊,最起碼水用 SHA-1,如果使用SHA-512 輸出雜湊值可以到 512 bits

另外處理加密問題,絕對不會拿使用者的資料直接加進去,還會在加上系統的特徵值,例如你輸入是 123 ,透過你的帳號知道你的名字,再配合特殊字元處理,要直接由資料庫拿到資料去破,不是那麼容易。

簡單的說,能不能被破解,和使用數字、文字沒有什麼關係。
回覆時引用此篇文章
  #15  
舊 2010-01-08, 03:22 PM
roger 的頭像
roger roger 目前離線
進階會員
 
註冊日期: 2002-06-25
文章: 1,644
發送 ICQ 消息給 roger 發送 MSN 消息給 roger
預設

我的中國信託信用卡已經剪掉很久了
因為感覺上他們的法務部門比較強勢 (曾有朋友有過經驗)

但是帳戶我是有留著用
因為7-11都可存提款蠻方便的
__________________
域名徵求合作 | NetShopping.com.tw | Motels.com.tw | eBoss.com.tw | eBooks.com.tw | / 南元休閒農場優待卷 / 阿里山櫻花季登場 / 走馬瀨農場門票 / 烏山頭水庫風景區 / 尖山埤江南渡假村 / / 台南汽車旅館住宿 / HTC沒有告訴你的事 / 梅嶺風景區 |
回覆時引用此篇文章
  #16  
舊 2010-01-09, 12:03 PM
twnhostCom twnhostCom 目前離線
進階會員
 
註冊日期: 2009-08-06
文章: 112
預設

引用:
作者: Ricado 查看文章
雖然中國信託不是我們的客戶,不過這兩年小弟協助幾家金融業建立開發規範,包括證交所等,以下幾點提供各位參考。



如果能直接進到server,那不是技術問題了,一定是內神通外鬼。
商用的伺服器絕對不會是一個 root 授權到底。
資料庫檔案儲存在資料庫引擎
資料庫引擎安裝在作業系統
作業系統的管理者叫作系統管理者,System Administrator
資料庫引擎管理者叫作 Database Administrator 簡稱 DBA
資料庫資料的擁有者 Database Owner
以上三主是不同的人。
系統管理者沒有權限登入資料庫
資料庫管理者沒有權限更改讀取資料

重要的安全性資料讀取必須審核,存取時還必須要雙控。



請問如果帳號讓您自己設定,您會使用多少的字元?假設 12 個字元好了。
如果 MD5(12個文字+數字) 不可破!
那如果MD5(MD5(數字)+數字) 可破嗎?

而且私密的資料並不會使用 MD5 作雜湊,最起碼水用 SHA-1,如果使用SHA-512 輸出雜湊值可以到 512 bits

另外處理加密問題,絕對不會拿使用者的資料直接加進去,還會在加上系統的特徵值,例如你輸入是 123 ,透過你的帳號知道你的名字,再配合特殊字元處理,要直接由資料庫拿到資料去破,不是那麼容易。

簡單的說,能不能被破解,和使用數字、文字沒有什麼關係。
專業的分享

我又上到寶貴的一課!

謝謝
回覆時引用此篇文章
  #17  
舊 2010-01-11, 07:41 AM
yuan691014 的頭像
yuan691014 yuan691014 目前離線
進階會員
 
註冊日期: 2008-05-09
文章: 488
預設

小弟的一點點使用經驗

論靈活度的話,中信是很好的選擇
沒有轉帳約定帳戶限制,網銀的功能也夠用
因為沒什麼錢,所以還沒擔心安全問題

動態密碼機第一銀行很久以前就有了
但它的網銀不能轉非約定帳戶
可以說等於沒有網路轉帳功能

安全跟靈活好像難兩全
回覆時引用此篇文章
  #18  
舊 2010-01-11, 09:39 AM
Ricado 的頭像
Ricado Ricado 目前離線
進階會員
 
註冊日期: 2004-07-13
住址: 蕃薯島,打狗城
文章: 4,454
預設

引用:
作者: yuan691014 查看文章
動態密碼機第一銀行很久以前就有了
動態密碼機只能阻擋鍵盤側錄動作,而且是有專利的,這個概念很好,不過並不是那麼牢不可破。

當您使用鍵盤輸入時,鍵盤側錄程式可以攔截到鍵盤的事件,將您的動作記錄下來後,利用木馬程式傳回伺服器。

進化一:使用螢幕鍵盤,當您使用滑鼠案件時,只能攔截到 mouse_click 的事件。
缺點:可以依據滑鼠點的位置判斷字元。

進化二:使用動態件盤,每次排列的位置都不一樣,當您使用滑鼠案件時,只能攔截到 mouse_click 的事件,而且無法透過位置判斷是哪個字。
可能漏洞:無法攔截螢幕測錄。直接螢幕拍照存證。

進化三:動態密碼,又稱一次密碼,每次登入時,透過手機傳遞一組密碼。
回覆時引用此篇文章
  #19  
舊 2010-01-11, 11:45 AM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 22,996
預設

那請問一下,木馬偵測的東西,如果我是用copy and paste一組數字,對方能因而知道我貼了什麼數字上去嗎?
__________________
咖啡走路
微博


您是網站站長嗎?歡迎到站長俱樂部 一起討論吧。
按我看版規
code.club
回覆時引用此篇文章
  #20  
舊 2010-01-11, 01:03 PM
Ricado 的頭像
Ricado Ricado 目前離線
進階會員
 
註冊日期: 2004-07-13
住址: 蕃薯島,打狗城
文章: 4,454
預設

引用:
作者: 哈啦 查看文章
那請問一下,木馬偵測的東西,如果我是用copy and paste一組數字,對方能因而知道我貼了什麼數字上去嗎?
所謂 copy 事實上是將內容複製到系統的剪貼布,當您使用 paste 的時候,程式就到剪貼布中把資料複製過來,所以您才能不斷的貼上,除非你又複製了其他東西,置換了剪貼布裡的內容。

所以... 木馬程式當然也可以到剪貼布複製您的資料。這個比動態鍵盤還好破解。

其實除非中了木馬,或是真的內神通外鬼,目前的網銀,要由網頁直接登入,只能用猜的方式。個人能做的就是降低被猜中的機會,另外就是限制網銀的功能。
被猜中的機會 6~12 個字,注意喔不是 6 個,也不是 12 個,使用變動長度的好處是多一項安全機制。
比較:
密碼固定 4 碼,猜中機會 10x10x10x10

變動密碼 6~12,必須先猜對長度,可能性 (10的6次方+10的7次方....10的12次方)
加上帳號也是變動,所以可性就是
(10的6次方+10的7次方....10的12次方)X(10的6次方+10的7次方....10的12次方)
如果沒有提示,只給三次機會,不敢說不可能猜對,但至少分母再往上加,也沒太大意義,反而限制了未來的一些發展,例如語音系統與網銀的統一。
回覆時引用此篇文章
回覆

主題工具

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 02:54 AM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.