有人用中國信託嗎？

現在改版後的網銀很瞎

強迫設定新的使用者代碼及登入密碼都是 ”6-12位數” 純數字

基本上只要知道中國信託客戶的身份證字號，就可以針對這兩項進行破解了

而且也不需要很暴力，因為都是純數字..

真是瞎爆

我錢都不敢放中國信託，戶頭只留一至兩萬扣保險費有的沒的
中國信託負責資安的主管早晚會被砍頭 :XD:

我是沒用過這家，但別家的網路銀行，只要密碼錯了幾次，網銀帳戶就會被鎖住

就算知道密碼，進去網銀後，也是沒辦法對非約定帳號轉帳，網銀現在應該只有對帳功能，有些網銀高檔一點，可以放ATM卡進去執行預約轉帳

反之我覺得國泰世華網銀密碼就太過火，代號要有英文+數字，密碼要英文+數字+符號，不過現在他們可以改用金融卡登入網銀，從極端麻煩變成相當便利

網路銀行似乎都無法隨意轉帳(或者和ATM一樣一次只能二萬，一天最多一或三次？)到沒有約定的他人帳號去？除非之前有跑去銀行台辦理特定帳號才能直接從網路上大筆轉帳？

是這樣嗎？

但無論如何，這些缺點應該反映給中國信託，以造福其他user。

這個年代的程式設計師還設計數字當網路帳號密碼
那我看已經跟社會或網路脫節了, 也沒有繼續吸收知識
我看直接請他休息好了

我看了一下，只要代號或密碼錯三次，帳戶就會鎖住了，其實安全性沒有啥問題，你能有辦法三次猜中也算神奇人物

現在網銀已經不能跑非約定轉帳，因為金管會有規定，能跑非約定的網銀，會叫你插入ATM卡，網銀能把錢丟出去的方法，只有約定轉帳或跑去買基金或開定存

只有數字的密碼，我覺得這樣也好記，到銀行處理網銀時也只有數字鍵，除非你告訴他鍵盤借我用一下

我跑過銀行處理網路銀行過，因為要弄ATM卡片連結，只好叫他鍵盤借我一下輸入密碼

我是使用動態密碼機。有一個很像計算機的東西，每次一按，就會出現不同數字。

我是使用動態密碼機。有一個很像計算機的東西，每次一按，就會出現不同數字。
應該是渣打吧。
這樣的設計，不曉得是不是他們的專利？

想說，可不用帶著讀卡機(金融卡)趴趴走，上網咖也可進行不約定帳號轉帳。
方便、安全性又高，其他銀行為何不跟進。~what

應該是渣打吧。
這樣的設計，不曉得是不是他們的專利？

想說，可不用帶著讀卡機(金融卡)趴趴走，上網咖也可進行不約定帳號轉帳。
方便、安全性又高，其他銀行為何不跟進。~what

因該不是他們的專利喔
早在很多年前國外就有這樣的服務了
台灣什麼時候引進的我沒注意
不過國外很早就有囉 ~yes

台灣最早使用的可能是郵局
我很早在 http://webatm.post.gov.tw 上登入時就有了
但其他的銀行那時候還沒有這樣的功能

我是用兆豐銀行的，大概用了二年。當初也不知道有這種東西，本來只是想問問有沒有安全一點的網路銀行，因為我住在鄉下，全鄉只有農會信用部和郵局，沒有任何一家銀行分行，不得不用網路銀行；他們就直接介紹我使用動態密碼機。
使用起來也很有趣，我自己是校長兼敲鐘，我要轉帳的時侯，不是像一般網路銀行直接轉帳；我必須先上一封電子簽呈給我自己說要轉帳、預定轉給某某多少錢，然後自己再用動態密碼機批准自己的簽呈。當初他們介紹這個東西時說：網站的功能歡迎亂試一通，只要不動到密碼機，錢就出不去。


https://www.global-ebanking.com/ 網站入口
https://www.megabank.com.tw/chinese/market/show.htm 線上展示

安控機制 ( https://www.megabank.com.tw/internet/internet05_01.asp )
(2)硬體設定
‧RSA 數位簽章
採用 1024bits RSA數位簽章加密，完全符合財政部規定，網路交易最安全。
‧動態密碼卡 ( One Time Password )
最高管理者 ( root )透過 OTP 來新增使 用者及其權限、設定簽核流程，並管理內部使用之權限。

台灣最早使用的可能是郵局
我很早在 http://webatm.post.gov.tw 上登入時就有了
但其他的銀行那時候還沒有這樣的功能
這個網頁 http://webatm.post.gov.tw 提到的應該是金融卡 + 讀卡機。

動態密碼機是不用連線的，外觀看起來就像小型計算機。據說機子上的程式有一個函數，有很多參數，這些參數只有密碼機和網路銀行主機各有一份。所以兩邊可以推算出一樣的密碼來核對；時間也是其中一項參數，所以先偷按抄起來也沒用。


竟然幫兆豐推業務起來，應該叫襄理發獎金給我才是。 ~cici

這個網頁 http://webatm.post.gov.tw 提到的應該是金融卡 + 讀卡機。

動態密碼機是不用連線的，外觀看起來就像小型計算機。據說機子上的程式有一個函數，有很多參數，這些參數只有密碼機和網路銀行主機各有一份。所以兩邊可以推算出一樣的密碼來核對；時間也是其中一項參數，所以先偷按抄起來也沒用。


竟然幫兆豐推業務起來，應該叫襄理發獎金給我才是。 ~cici

我記得先前國外還有那種每小時自動更換密碼的
比較擔心的是密碼機如果遺失被偷，還是有一定的風險的

我是沒用過這家，但別家的網路銀行，只要密碼錯了幾次，網銀帳戶就會被鎖住

就算知道密碼，進去網銀後，也是沒辦法對非約定帳號轉帳，網銀現在應該只有對帳功能，有些網銀高檔一點，可以放ATM卡進去執行預約轉帳

反之我覺得國泰世華網銀密碼就太過火，代號要有英文+數字，密碼要英文+數字+符號，不過現在他們可以改用金融卡登入網銀，從極端麻煩變成相當便利

真正的hacker 是不會用web interface在try密碼的
他們會直接進伺服器端抓密碼檔
舉個例, 用md5編碼的密碼如果是中英及符號混合的md5保證是不可逆, 破不了.
但已經知道是純數字的密碼檔, hacker 只要先run 6-12位數字的md5字典檔與密碼檔比對, 就可以得知真正的密碼.

我沒相關的技術, 但對於黯此道的hacker來說，中國信託的密碼機制鐵定會被破解, 只是不知道有沒有真正的高手要去行動罷了.

雖然中國信託不是我們的客戶，不過這兩年小弟協助幾家金融業建立開發規範，包括證交所等，以下幾點提供各位參考。


他們會直接進伺服器端抓密碼檔


如果能直接進到server，那不是技術問題了，一定是內神通外鬼。
商用的伺服器絕對不會是一個 root 授權到底。
資料庫檔案儲存在資料庫引擎
資料庫引擎安裝在作業系統
作業系統的管理者叫作系統管理者，System Administrator
資料庫引擎管理者叫作 Database Administrator 簡稱 DBA
資料庫資料的擁有者 Database Owner
以上三主是不同的人。
系統管理者沒有權限登入資料庫
資料庫管理者沒有權限更改讀取資料

重要的安全性資料讀取必須審核，存取時還必須要雙控。



舉個例, 用md5編碼的密碼如果是中英及符號混合的md5保證是不可逆, 破不了.

請問如果帳號讓您自己設定，您會使用多少的字元？假設 12 個字元好了。
如果 MD5(12個文字+數字) 不可破！
那如果MD5(MD5(數字)+數字) 可破嗎？

而且私密的資料並不會使用 MD5 作雜湊，最起碼水用 SHA-1，如果使用SHA-512 輸出雜湊值可以到 512 bits

另外處理加密問題，絕對不會拿使用者的資料直接加進去，還會在加上系統的特徵值，例如你輸入是 123 ，透過你的帳號知道你的名字，再配合特殊字元處理，要直接由資料庫拿到資料去破，不是那麼容易。

簡單的說，能不能被破解，和使用數字、文字沒有什麼關係。

我的中國信託信用卡已經剪掉很久了
因為感覺上他們的法務部門比較強勢 (曾有朋友有過經驗)

但是帳戶我是有留著用
因為7-11都可存提款蠻方便的

雖然中國信託不是我們的客戶，不過這兩年小弟協助幾家金融業建立開發規範，包括證交所等，以下幾點提供各位參考。



如果能直接進到server，那不是技術問題了，一定是內神通外鬼。
商用的伺服器絕對不會是一個 root 授權到底。
資料庫檔案儲存在資料庫引擎
資料庫引擎安裝在作業系統
作業系統的管理者叫作系統管理者，System Administrator
資料庫引擎管理者叫作 Database Administrator 簡稱 DBA
資料庫資料的擁有者 Database Owner
以上三主是不同的人。
系統管理者沒有權限登入資料庫
資料庫管理者沒有權限更改讀取資料

重要的安全性資料讀取必須審核，存取時還必須要雙控。



請問如果帳號讓您自己設定，您會使用多少的字元？假設 12 個字元好了。
如果 MD5(12個文字+數字) 不可破！
那如果MD5(MD5(數字)+數字) 可破嗎？

而且私密的資料並不會使用 MD5 作雜湊，最起碼水用 SHA-1，如果使用SHA-512 輸出雜湊值可以到 512 bits

另外處理加密問題，絕對不會拿使用者的資料直接加進去，還會在加上系統的特徵值，例如你輸入是 123 ，透過你的帳號知道你的名字，再配合特殊字元處理，要直接由資料庫拿到資料去破，不是那麼容易。

簡單的說，能不能被破解，和使用數字、文字沒有什麼關係。

~yes 專業的分享

我又上到寶貴的一課！

謝謝 ~greenlau:

小弟的一點點使用經驗

論靈活度的話，中信是很好的選擇
沒有轉帳約定帳戶限制，網銀的功能也夠用
因為沒什麼錢，所以還沒擔心安全問題 ~embarass:

動態密碼機第一銀行很久以前就有了
但它的網銀不能轉非約定帳戶
可以說等於沒有網路轉帳功能

安全跟靈活好像難兩全

動態密碼機第一銀行很久以前就有了


動態密碼機只能阻擋鍵盤側錄動作，而且是有專利的，這個概念很好，不過並不是那麼牢不可破。

當您使用鍵盤輸入時，鍵盤側錄程式可以攔截到鍵盤的事件，將您的動作記錄下來後，利用木馬程式傳回伺服器。

進化一：使用螢幕鍵盤，當您使用滑鼠案件時，只能攔截到 mouse_click 的事件。
缺點：可以依據滑鼠點的位置判斷字元。

進化二：使用動態件盤，每次排列的位置都不一樣，當您使用滑鼠案件時，只能攔截到 mouse_click 的事件，而且無法透過位置判斷是哪個字。
可能漏洞：無法攔截螢幕測錄。直接螢幕拍照存證。

進化三：動態密碼，又稱一次密碼，每次登入時，透過手機傳遞一組密碼。

那請問一下，木馬偵測的東西，如果我是用copy and paste一組數字，對方能因而知道我貼了什麼數字上去嗎？

那請問一下，木馬偵測的東西，如果我是用copy and paste一組數字，對方能因而知道我貼了什麼數字上去嗎？

所謂 copy 事實上是將內容複製到系統的剪貼布，當您使用 paste 的時候，程式就到剪貼布中把資料複製過來，所以您才能不斷的貼上，除非你又複製了其他東西，置換了剪貼布裡的內容。

所以... 木馬程式當然也可以到剪貼布複製您的資料。這個比動態鍵盤還好破解。

其實除非中了木馬，或是真的內神通外鬼，目前的網銀，要由網頁直接登入，只能用猜的方式。個人能做的就是降低被猜中的機會，另外就是限制網銀的功能。
被猜中的機會 6~12 個字，注意喔不是 6 個，也不是 12 個，使用變動長度的好處是多一項安全機制。
比較：
密碼固定 4 碼，猜中機會 10x10x10x10

變動密碼 6~12，必須先猜對長度，可能性 (10的6次方+10的7次方....10的12次方)
加上帳號也是變動，所以可性就是
(10的6次方+10的7次方....10的12次方)X(10的6次方+10的7次方....10的12次方)
如果沒有提示，只給三次機會，不敢說不可能猜對，但至少分母再往上加，也沒太大意義，反而限制了未來的一些發展，例如語音系統與網銀的統一。

原來如此，萬一不確定是否有木馬存在，那要如何輸入帳號和密碼是比較安全的？

原來如此，萬一不確定是否有木馬存在，那要如何輸入帳號和密碼是比較安全的？

如果真的要很小心，簡單一點，就弄點障眼法，例如
1.先輸入密碼，再輸入帳號(這時候帳號密碼都是數字效果就更好了)。
2.密碼分段輸入，先輸入後半段，再輸入前半段。

當然，如果使用晶片卡就更安全了。

各位如果有用心觀察，一般的登入都是帳號、密碼兩格，其中密碼會用星號掩飾。可是網銀的帳號、密碼都是星號，而且前面還要多輸入身分證字號。其實，以前的網銀身分證字號就是帳號。現在要自定一組帳號，加一組密碼，等於就是雙密碼機制啦。

如果真的要很小心，簡單一點，就弄點障眼法，例如
1.先輸入密碼，再輸入帳號(這時候帳號密碼都是數字效果就更好了)。
2.密碼分段輸入，先輸入後半段，再輸入前半段。



~yes~yes:bow