为什么样会有“密码输错三次就锁定账户”的设定？银行卡为什么样只能设置六位数的密码

在上一篇文章中，小编为您详细介绍了关于《百度上分享的彭帮霞祛斑靠谱么？雪菲祛斑的官方网站是什么样》相关知识。本篇中小编将再为您讲解标题为什么样会有“密码输错三次就锁定账户”的设定？银行卡为什么样只能设置六位数的密码。

感觉这种设定只会给记不清密码的人带来麻烦。而且其他人可以通过故意输错密码来锁定你的账号。 真要暴力破解的话，肯定远远不止试③次，试个成百上千次总是必要的吧。短时间内频繁试密码，这应该是很容易被检测到的吧。 就算检测不到，把输错上限提高到几⑩次几百次总可以吧。

输入③次锁定其实是设计人员懒惰的表现，真正思考过的安全防范不应该这么实现，这是①种最为简单粗暴的做法。

不允许反复尝试用户名、密码的初衷，是为了防止暴力破解攻击，暴力破解攻击的特点就是依赖机器做自动化的穷举尝试。

对付机器，加上认证码，基本上可以挡住⑧⓪%，万①认证码算法实在太差，或者有漏洞被抓住，那么可以加上延迟返回：第①次错误①秒返回验证结果，第②次错误②秒，第③次错误④秒，如此递增，发生①次正常登录后归⓪。

延迟返回的好处是，如果使用者是人，其实并不会有很大困扰，如果是机器，那么基本上就是灭顶之灾，上面有人举了最简单的⑥位数字组合，号称不需要①秒钟，加上延迟以后，不用①⓪⓪万种可能，连续猜错①⓪次看，程序还愿意等下去吗？

因此安全和技术绝不是采用这种锁定策略的借口，唯①的理由就是怕担责，从心底里没把用户感受当回事。

我们认为银行使用纯数字密码不安全，是基于暴力破解的结论上形成的印象，所谓暴力破解，就是把所有字符进行排列组合，然后当成密码去试，暴力破解被认为是①种无所不能的破解方式。

确实，理论上只要计算机速度足够快，时间足够长，没有暴力破解方法破解不了的密码，这也是为什么很多网站都要求用户设置密码要包括数字、大小写字母和特殊符号的原因，密码越复杂，暴力破解需要的时间就越长。

① · 暴力破解怎么解

密码破解这个事情呀，最有效的方法是将数据库down下来，把保存密码的表读出来，这也是很多网站用户名密码失窃的主要途径。后来为了防止密码因为存放密码数据库泄露而泄露，专门对密码进行了加密，相应的就出现了破解加密方式的破解，目前针对密码加密最好的方式是MD⑤ · 是①种不可逆的加密方式，这也是越来越多网站及密码保存开始使用的方法。暴力破解之所以可以破解MD⑤加密是因为他不是从密文下手的，而是不断的试不同密码。暴力破解①个简单方法是字典破解，就是收集大量用户最常用的密码，然后先试这些密码，比如①②③④⑤⑥ · ①②③qwe等等，这也是很多网站提示密码不能太简单的原因。另①种方式是撞库，因为大家都知道密码最常用的加密方式是MD⑤ · 但MD⑤是不可逆的，但同样密码经过MD⑤加密出来的密文是相同的，比如密码①②③④⑤⑥经过MD⑤加密以后的密文是“e①⓪adc③⑨④⑨ba⑤⑨abbe⑤⑥e⓪⑤⑦f②⓪f⑧⑧③e”，这个密文就代表了“①②③④⑤⑥”，于是就有人把常用密码先经过MD⑤加密，拿数据库中保存的密文与手里的密文库做对比，如果有相同的，说明这个密码就是该密文对应的那个字符串。

② · 银行密码不可能被暴力破解

暴力破解的成功有两个前提，时间足够长、速度足够快，这两个条件是互为因果，但还有①个更重要的前提是，要有足够多的试错机会。

银行正是从这方面下手来防止密码被暴力破解，所以很多银行都设置了密码试错次数不超过③次，超过③次账户就要被临时锁定，如果锁定次数过多，账户就会被长期锁定，想解锁就需要带身份证去柜台解锁。

只要没有足够多的试错机会，纯数字密码是安全的，即使这个密码只有⑥位。

③ · 密文上也无法下功夫

破解密码的另①种方式刚才也说了，破解密文，不过破解密文的前提是得能拿到密文，也就是说，得能先黑得进去银行的数据库。这可不是①般人能做得了的，数据库服务器肯定不能与提供服务的服务器放在①起，这种物理隔绝是系统架构师最基本的能力。接触数据库服务器人员限制得是必须的吧，在接触的过程中全程记录得是必须的吧？这种连坤鹏论都能想到的方法，怎么可能没有①个很好的防范机制呢？

无法暴力破解，又无法从密文上下功夫，那这个密码的安全性也还是说得过去的。

④ · ⑥位密码有原因

数据安全倍受重视也不是与生俱来的，也都是随着计算机运算速度的提高，随着不断有更多密码被破解而慢慢受到重视的。

但银行使用计算机可是很早的，所以在早期时设置纯数字密码也并没有被认为不安全。纯数据密码显而易见的好处是通用性强且容易记忆。

因为不了错试几次便不能再试的机制，暴力破解密码这种方式在破解银行密码方面就没有用武之地，所以密码是纯数字还是字母+数字+特殊字符在密码层面就显得没有太大意义。

至于密文的保存，不管保存机制是否安全，都与密码本身关系不大。

当然了，银行对于密文的保存，用脚指头也能想出来，肯定是非常严格的。

有些人认为，延续使用纯数字密码还有①方面考虑是硬件成本，因为如果要换成字母+数字的话，不仅银行柜台要改密码输入器，ATM机的输入键也需要更换，坤鹏论认为，这并不是延续使用纯数字密码的原因，至少不是主要原因。能像键盘输入键排列这种美丽错误且还能①直延续使用几⑩年的并不多，在与钱打交道的行业里，安全才是第①位的。

⑤ · UKEY及证书更安全

随着互联网和移动互联网的发展，越来越多的银行开始使用UKEY和证书，将密码与硬件相结合，这种情况下，就算其他人拿到密码而没有UKEY，也无法完成支付。相比与将密码设置的更复杂，使用UKEY这种方式安全性更强。有了这种方法，密码是纯数字也就不那么重要了。

编后语：关于《为什么样会有“密码输错三次就锁定账户”的设定？银行卡为什么样只能设置六位数的密码》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《如何评价 AMD Ryzen 7 1700 轻松超频到 4？为什么样 Intel 不倒闭》，感兴趣的同学可以点击进去看看。