請問版上的各位，晶片金融卡的密碼有可能會被破嗎?

ocyoe

6分

21樓

ocyoe

個人積分：6分

文章編號：3208261

chenken wrote:

晶片卡的密碼是存在...(恕刪)

應該不是用這麼笨的方法吧?密碼怎麼會存在卡片上?存在銀行端不就好了?
我實在想不透密碼存在卡片上能幹嘛?
就如同yahoo的電子信箱的密碼,yahoo絕對不會把你的密碼存在你的電腦裡.

alan0705

0分

樓主

alan0705

個人積分：0分

文章編號：3209260

昨天已經由警方去銀行調ATM 的錄影帶了，首先，我妹被偷的是晶片金融卡(玉山、富邦)二家，而且百分百確定密碼沒有寫在卡片上，而密碼和個人資料沒有相關性，而影帶中可以看見一個中年男子，有拿一張有相片的IC卡，然後和失竊的卡一直在交叉使用(在ATM前大約停留了至少10分鐘)，而且有注意到他一直在看一張紙，可能是要交如何盗領吧。這是在錄影帶看到的情況。

不知道銀行有沒有辦法可以防範。
就我知道已經有三個案例了。

alan0705

0分

樓主

alan0705

個人積分：0分

文章編號：3209282

被偷的二台NB是我自己的，因此裡面不會有我妹的資料，而且我NB開機後要先輸入BIOS密碼，進入WINDOWS再輸入登入的密碼。

白鷺鷥

1723分

24樓

白鷺鷥

個人積分：1723分

文章編號：3209621

晶片金融卡的密碼(PIN)確實是存在卡上的
應該跟USIM/SIM卡作法一樣(也許很少人看過SIM的大卡，實際長相完全一樣)
這種卡片都是ISO7816的規格

密碼(PIN)並不實際在空中或線路中傳遞，以免被劫走
PIN輸入正確，這張卡就可以用

卡片上另外會存有一組key, 在認證中心那邊也會有保留一份key

1. 每次做認證(authentication)時都會傳一組不一樣的亂數到對方
2. 這組亂數在認證中心，跟存在那邊的key做完運算，得到一個結果A
3. 這組亂數在卡片裡面這邊，跟存在卡片裡面的key做完運算，得到一個結果B；然後把結果B傳回認證中心
4. 認證中心比對結果A跟結果B以判斷那張卡片是不是真的
5. 因為會被劫走的只有結果B；但是記錄下結果B並沒有用處，因為每次的亂數都不會一樣(如果真的有好好設計認證過程)，所以每次結果B都不會一樣
6. 那個SIM/USIM會被破解可以拷貝(SIM拷貝機)，應該都是用暴力法，去用大量的亂數，跟得到的結果，去計算key是什麼；所以要花幾個小時
7. 但是PIN都只有幾次的錯誤允許(一般是3次)，錯誤的次數是紀錄上卡上的；滿了就不能用了，就得輸入PUK來解(PUK一般都不會給，重試次數也僅一般有10次)；再錯就這張晶片就鎖住報廢了
8. 所以要破解晶片金融卡PIN......應該是不可能的；僅有三次機會，密碼長度可允許4-8碼.....
9. PIN, key都僅允許修改，不能讀取
10. PIN都有預設值，所以第一次啟用，都會請使用者更改；但是更改後的PIN，就連銀行也不會知道

logaway

1307分

25樓

logaway

個人積分：1307分

文章編號：3209662

白鷺鷥 wrote:
晶片金融卡的密碼(P...(恕刪)

終於有人出來解釋了...
其實跟電腦的CA認證是類似的!!

bluesystem

2068分

26樓

bluesystem

個人積分：2068分

文章編號：3209678

讓我咬一口 wrote:
密碼不可能存在晶片金融卡內
那個是放在銀行的database的
卡片只是拿來確認應該屬於哪個帳戶，密碼可能是歹徒尤其他證件猜測出來的

我以前一個同事作IC卡的, 他跟我說的是這樣:
銀行的提款卡, 要在不知道密碼的情況下能使用, 除非去銀行把server搬走找密碼.

如果是像自然人憑證(PKI)那樣,就算把server搬走也沒用.....密碼是找不到的, 所以
忘了密碼就只能重設.

bluesystem

2068分

27樓

bluesystem

個人積分：2068分

文章編號：3209740

白鷺鷥 wrote:
卡片上另外會存有一組key, 在認證中心那邊也會有保留一份相同的key

我想起來了...我同事說這是對稱式的key對嗎? PKI的key是相異的.....
PIN到底有沒有存在smart card裏, 這個我就有點忘記了(前面回文還以為沒有, 後來想想還是待確認),
有空遇到人再問一下. 就算PIN存在卡上, 要破解應該幾乎不可能. 否則我同事就不會跟我講除非去把
server搬來否則沒辦法知道密碼了.

與失敗為伍者，天天靠盃都是別人的錯。與成功為伍者，天天跟失敗切磋直到不再出錯。