6位密码,并非看上去的那么容易破

飞叔 电脑爱好者 2016-06-16 17:17新闻 标签:支付 密码

细心的宝宝们可能已经发现了,银行卡的密码是6位数,微信支付密码是6位数,支付宝的支付密码也是6位数……这不科学啊!安全“砖家”们一直教导我们说,密码要设计得长一点、复杂一点、变态一点,才会安全一点……可是,银行卡、微信、支付宝,这些攸关我们钱包大事的密码为何只有短短的6位?而且还是纯数字的!这不等于把我们的口袋打开,招呼小偷说:来呀,来偷我呀!

密码6位数是这么来的

宝宝们莫急,如果6位数的密码真的那么不安全,岂不是早就天下大乱了。黑格尔说过,“存在的就是合理的”(小编好有学问的样子,崇拜……别扭鸡蛋西红柿啊,中午食堂已经吃过了)。下面就让我们仔细分析一下它的合理性。

密码设置为6位数,一个很大的原因,就是它好记!据说这是根据美国心理学家乔治·米勒得出的结论。当然米勒可不是信口开河,他从一系列实验中发现,在不重复的练习中(比如看电视字幕),短时记忆内一般人平均只能记下7个项目,7位数字、7个人名等等……加上一些修正值,于是他得出著名的“7加减2”原理:正常成年人在正常情况下,短时间内只能记住7个数字,因为个体差异,上下限分别为5~9。而这个神奇的6,正是介于5~9之间。艾玛,原来真是是有科学道理的。

方便了但是安全吗

记是容易记了,但是安全吗?别有用心觊觎我钱包的人,不也同样很容易记住?其实,如果单单靠密码来保证安全,别说6位,就是8位10位20位,也挡不住黑客的黑手。就以6位数的密码来说,也就是10的6次方,共有100万种不同的密码,看起来很强大,但是在黑客简单的“穷举法”面前,几乎可以秒破。别说仅仅是些数字组合,就算加上26个大小写的字母,也才一共62个字符数,62的6次方个密码,哦哦,对于现在超强的计算能力来说,差不多也是秒破。什么,宝宝你不信?那就做个实验呗,打开英特尔的在线密码强度检测工具试试(https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html),在中间输入框输入你的密码,然后单击“GRADE MY PASSWORD”,看看123456要多长时间能破解?竟然只有0秒。添加字母增加强度,试试abc123,还是0秒。试试aidfa1335&$之类的所谓复杂密码,同样用不到2秒钟。Oh,No……

0001

英特尔测试密码强度的在线工具

有限次输入保安全

“穷举法”的原理就是不停的试,不停的试,不停的试……所以支付安全的策略之一就是不让你不停的试(好绕口)。无论是银行的自动取款机,还是微信支付或支付宝支付等,如果你连续3次(也有设定10次的)输入出错,马上将帐户冻结。穷举法也就失效了。

不过这里还有一个漏洞,这是人的漏洞,许多人为了方便自己记住密码,会用一些别人能猜得到的密码组合,比如用自己的生日,用身份证号,用111111、666666、123456等超简单密码等,这些,不用穷举就能猜出来,它的安全性当然也就没有了保障。

支付安全的多重防线

从上面可以看得出来,密码,是不能完全信赖的,正应了俗话说的“防君子防不了小人”。所以更好的安全策略,就是多设几道关卡,这肯定要比只有一道简单的数字密码这么“裸奔”安全多了。假设三个互相独立的条件发生概率都有30%,每一个看起来都很危险,但形成组后最终条件触发的概率就会锐减为30%*30%*30%=2.7%。就拿微信支付来说,每次微信支付前必须登录微信,6位数登录密码是第一道防线;开通微信支付后系统默认启动“账户保护”功能,这又是一道防线;微信只提供手机端APP登录,不让其他应用(如网页)染指,从而尽可能的防钓鱼,这又是一道防线。这些组合,将微信支付的风险大大的过滤。

0002

微信“我→设置→帐号与安全”里面有更多安全措施

淘宝的两步验证

在支付安全中,其实还有一个非常简单但是很实用的方法,就是“两步验证”。它是在传统密码验证的同时,增加的其他验证方式。比如要在淘宝网购物,当货款大于200元的时候,就会向淘宝账户捆绑的手机号发送一个验证码。如果验证码不能准确地输入,那么货款就无法正常的进行支付。其中淘宝账户的密码是第一次身份验证,而收到的验证码就是进行第二次身份验证。

总之,支付安全无小事。下面广阔的评论区,大家都来八一八更多的安全措施吧……