银行卡密码的离线暴力破解

信息安全 银行
2021-09-09 07:32:11

我可能在这里忽略了一个关键事实,但是将以下内容放在一起使我相信使用每个人都可以使用的最基本硬件来确定银行卡的 PIN 是非常容易的(我在下面代表我的国家):

  • 每家银行都有一个使用“数字通行证”来验证用户的网上银行应用程序。这些都是中国制造的,只有部分型号在使用。设备上的徽标或序列号无关紧要,它们的工作方式相同。
  • digipass 会询问您的 PIN,并知道它是否正确(非常快)。
  • 一个普通的 PIN 码是 4 位数字,有 10000 个可能的代码。暴力破解很容易。

把所有东西放在一起,你就得到了:

  1. 盗取银行卡,
  2. 修改 digipass 以允许快速连续的 PIN 号码试验,并检测它是否认为您输入的 PIN 是正确的(这很简单?电子产品,真的)
  3. 比如说,每次尝试 5 秒,大约 14 小时,就可以得到一张卡的 PIN。

我一定是真的错过了什么,还是银行卡安全有那么可笑?

4个回答

嵌入在智能卡中的芯片会在指定数量的错误 PIN 输入(通常尝试 3 到 10 次)后自行锁定。

我怀疑您实际上是否也需要遍历所有 10,000 个组合。这里对不同数字对的频率进行了非常好的分析:

http://www.datagenetics.com/blog/september32012/index.html

基本上从 19XX 开始并逐步完成,其成功率要比 PIN 码实际上是随机生成的要高得多。

第 1 步很容易,第 2 步很难。这些芯片旨在防止这种篡改,研究小组多年来一直在研究如何在没有成功攻击的情况下执行您提出的建议。

我从来没有听说过这个数字密码。我做网上银行的时候不使用一个,所以我认为在美国不适用攻击。

在美国,我们确实有一张 ATM 卡(上面有一些数据的磁条卡),如果你偷了某人的 ATM 卡,可以尝试各种 PIN 码。但是,验证 PIN 涉及与银行主机的通信,如果您输入错误 3 次左右的 PIN,银行会吞下您的 ATM 卡(并可能锁定帐户)。因此,对 PIN 号的详尽猜测是行不通的,因为您只能尝试几次。

我希望美国银行对网上银行密码的猜测采取同样的防御措施。无论您所在的国家/地区是什么,我都希望银行对您的 PIN 的详尽猜测采取类似的防御措施,要么在 digipass 中实施,要么在银行后端系统中实施(后者只有在身份验证需要一些交互的情况下才有可能)在 digipass 和银行服务器之间,但这是设计身份验证协议的合理方式)。

其它你可能感兴趣的问题
上一篇SSL 证书是否需要具有相同的域名和通用名称? 下一篇暴力破解远程服务时使用了哪些本地资源?