在将密码强度与银行 PIN 进行比较时，您并没有将苹果与苹果进行比较。

大多数传统的密码强度神学都基于这样一个事实，即您的用户名和密码是您和您宝贵的安全数据之间的全部。这些只是您知道的两个对象，因此拥有一个看似随机模式的较长密码以防止密码猜测和暴力攻击等符合您的最大利益。

您的银行卡基于所谓的双因素身份验证 - 您拥有的东西（您的银行卡）和您知道的东西（您的 PIN）。拥有你拥有的东西的这个额外元素（你记得你在第一个场景中没有）可以说在小心处理你拥有的物品时大大提高了安全性。考虑到这一点，您通常可以避免使用 4 位代码，因为在没有提醒您的金融机构的情况下随机找到您的卡后有人猜到您的 PIN 的可能性非常低。

毋庸置疑，双因素身份验证并非没有缺陷（有人可能会在非芯片卡上复制您的磁条并窃取您的 PIN），但其额外的安全优势允许您在不增加密码长度的情况下缩短密码长度持有人的风险。

最初它与对密码进行暴力攻击的难度有关。

大多数网站都担心某些攻击者可能会获取包含每个人的哈希密码的文件，并使用该文件进行离线暴力攻击。正确设置的攻击者可能每秒能够进行数百万次猜测（准确率取决于密码是否使用合适的算法进行散列，以及攻击者可以带来多少硅来解决问题）。因此，即使是 8 个字符也可以说是不够的。

银行（由于各种原因与他们不同的安全模型有关）不认为他们可能会在没有注意到的情况下丢失包含 PIN 或其哈希的文件，或者无论如何他们并不比他们更担心以任何其他形式丢失数百万银行抢劫案。如果您想对某人的 PIN 进行暴力攻击（不包括家庭芯片和 PIN 阅读器），您必须将他们的卡放入连接到银行系统的 ATM 或其他设备中，然后输入一个数字。速度慢，猜错3次后机器吃卡。

一些网站使用类似的锁定来防止在线密码猜测攻击，但推动密码强度需求的主要问题是密码哈希的丢失。推动（缺乏）对 PIN 强度的需求的主要问题是使用物理卡（或使用磁条技术时它的克隆）。

请注意，在我所描述的模型的简单版本中仍然存在一个不小的缺陷。如果您偷了 10,000 张信用卡并在每个 4 位 PIN 上猜了 3 次，那么您预计会猜对 3 次。当然，如果一台 ATM 必须连续吃掉 100 张卡，它就会注意到有什么不对劲，所以我怀疑/希望警察在那之前就会上路。猜测卡 PIN 码对攻击者来说是有风险的。

一般来说，银行对可疑卡交易的关注程度也比网站对可疑登录的关注程度要高。如果某些网站注意到来自可疑位置的登录，它们会尝试注意并采取额外的安全措施，从而在密码后面增加额外的安全性。但是所有的卡支付系统都试图做到这一点。并不是说他们总是成功。

我不知道家用芯片和密码阅读器对此有何影响。我只是用我的来确认我的 PIN 是正确的，没有与银行进行任何沟通。这可能就像芯片足够聪明以在足够多的错误猜测后将自己锁定一样简单。这仍然会受到 10,000 张被盗卡片的攻击。您会烧掉 99.97% 的筹码，但这些筹码仍可用于不存在卡的欺诈行为，而另外 0.03% 的筹码可用于需要 PIN 的欺诈行为。当然，我不打算用我自己的卡片来测试这个理论；-)

有能力窃取这种规模的实体卡的攻击者可能无论如何都不会在猜测 PIN 上乱七八糟。这根本不是从被盗或克隆的卡中提取资金的最有效方法。

简而言之，是的，使用可能会被猜到的短密码存在一些风险。但与网站猜测相比，攻击者更难猜测，银行对信用卡欺诈进行了深度防御，而且与网站使用密码相比，与忘记 PIN 码相关的成本也更高。所以他们选择了不同的权衡。

1. 它只是身份验证的一部分，卡的实际存在也是证明的一部分。
2. 在一系列失败的尝试之后，您会被锁定，因此对于仅 4 位的 PIN，有人猜测 PIN 的总几率通常为 0.03%，或者 5 位和 6 位 PIN 的总几率为 0.003% 和 0.0003%，并且小于 0.00025 % 当您有 4 位、5 位或 6 位数字选项时。（实际上，攻击者可以通过选择热门号码来增加几率，但他们仍然无法通过暴力破解确保成功所需的 1000-1210000 次尝试）。

值得注意的是，部分原因在于虚假登录的 DOS 并不存在风险。例如，如果该网站在一定次数的尝试后有类似的总锁定（而不是可能仅阻止一个 IP）锁定，那么尝试猜测不同用户的密码（无论是目标用户还是仅仅击中已发布列表中的所有用户），直到他们被锁定。这实际上可能比成功猜出密码更成问题。这样的攻击可能会使网站变得无用，而成功破解密码将允许更有限的破坏行为，这种破坏行为必须是微妙的（这需要努力），否则很快就会被适度阻止。

使用 ATM 或芯片和 PIN 卡，受保护内容的不同使锁定更加有用，而拥有卡本身（或它的克隆）的必要性意味着只有在他们有卡，在这种情况下，我们已经失去了部分安全性并希望被锁定。

对包含数字、符号和大小写字母混合的密码的要求是基于攻击者拥有哈希密码副本的想法。由于攻击者拥有哈希密码的副本，攻击者可以对其进行数百万次猜测，基于探测无数的字典条目以及变体，例如为每个单词添加小整数前缀和后缀，用 0 代替 O 和很快。攻击者控制这个破解软件，在五次尝试失败后不会将他锁定。

PIN 的前提是保存 PIN 的存储在某种意义上是安全的。这本身并不能证明只有四位数的密码是合理的：另一个因素是您拥有与密码一起使用的卡。如果您只有用户 ID 和 PIN，但没有卡，您就无法从银行机器获取现金。如果您有卡，但没有 PIN，因此您只能猜测，在多次重试失败后，您将被锁定。请注意，不需要您的卡（仅您的卡号）的网上银行不会使用您的 PIN 码登录。

再次关于第一点，事实上攻击者拥有哈希密码的副本并不是一个合理的假设。或者，更确切地说，这个假设对我这个最终用户来说是不可接受的。当一个网站让我们选择一些晦涩难懂的密码时，他们实际上是在告诉我们：“我们没有努力保护您的个人信息免受攻击者的侵害——例如您的密码哈希”。这样做的问题是，除非我为多个服务提供商重复使用相同的密码（安全实践不佳），否则密码可能是最不重要的个人信息。实际上，理想情况下，它根本不包含任何个人信息。如果攻击者可以访问我的哈希密码，这意味着攻击者可以访问我的整个用户记录，这就是问题所在，

具有讽刺意味的是，许多具有此类策略的系统严格限制密码长度，并拒绝某些字符，例如空格，从而使用户被拒绝使用更容易记住和键入的长密码短语的合理选择。这表明实施此密码检查的人并不真正了解这些问题，并且更担心通过复制其他人所做的任何事情来追究责任。