討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆

為何銀行一定要把電子帳單PDF加上身分證字號當密碼?

  • 2024-01-17 18:30
  • 5148
wys819
wys819
1510分
11樓
wys819
wys819
個人積分:1510分
文章編號:89014254
猜想...
帳單真偽識別
也是有可能假冒帳單騙人匯款
大量寄發不太會有那個閒功夫找正確的信箱搭上正確的PDF密碼開啟
2024-01-18 11:44 #11
carloszhang
carloszhang
3928分
12樓
carloszhang
carloszhang
個人積分:3928分
文章編號:89014293
yt8019 wrote:
如果信箱被盜,不會有人會想要去看銀行帳單的。你上個月花多少錢對他沒有意義。

你都知道沒人要看,密碼不安全又如何
這東西就是做個基本防護
2024-01-18 11:50 #12
yt8019
盗信箱帳號的人不會要看 PDF 帳單,信箱的本人要看。
2024-01-18 14:06
飛在天上的大X
飛在天上的大X
4449分
13樓
飛在天上的大X
飛在天上的大X
個人積分:4449分
文章編號:89014614
本來就要加的,自己懶結果說別人做的功沒用搞什麼笑
反正都開得了,手機都不用鎖,家門也不用鎖是吧
把自己的無知加在別人身上
然後一堆人那邊罵pc漏個資、mo漏個資、xxx漏個資
你自己的都不加密了那邊說別人漏個資
細節不解釋了,就算你只有"兩位數字"都是很有用的加密

你要覺得開心也很簡單兩條讓你選
1.資訊問題以後就不提供客服,被偷就是被偷,被盜就是被盜,就是活該兩個字,人家銀行端一定有加密被盜一定是你這端
2.3711129F396D08917710626DA3D5F396(好啦我的Bitlocker密鑰^^),強制給你這種密碼不用大小寫(你自己說容易破解的嘛)、不用年年換,但每次都要輸入且不能複製貼上
你是會比較喜歡是吧?
2024-01-18 12:35 #13
cckm
cckm
5063分
14樓
cckm
cckm
個人積分:5063分
文章編號:89015275
yt8019 wrote:

如果信箱被盜,不會有人會想要去看銀行帳單的。你上個月花多少錢對他沒有意義。

其實還滿有意義的.
每個月花一萬是窮鬼,
花20萬的人有些財富,
前者可以不管,
後者可以好好「研究」一下..........
2024-01-18 14:09 #14
yt8019
yt8019
48分
樓主
yt8019
yt8019
個人積分:48分
文章編號:89015426

飛在天上的大X wrote:
然後一堆人那邊罵pc漏個資、mo漏個資、xxx漏個資
你自己的都不加密了那邊說別人漏個資
細節不解釋了,就算你只有"兩位數字"都是很有用的加密
完全兩碼子事,PCHOME漏個資和銀行 PDF 有什麼關係? PCHOME 那是後端資安的問題(現在比較少了),也不是使用者沒有設密碼,PCHOME 每個人都要打密碼才能登入購物。當你已用密碼登入了、也每3個月勤換密碼了,個資還是被廠商流出去,那密碼再強也沒用,完全劃錯重點。

你要覺得開心也很簡單兩條讓你選
1.資訊問題以後就不提供客服,被偷就是被偷,被盜就是被盜,就是活該兩個字,人家銀行端一定有加密被盜一定是你這端
2.3711129F396D08917710626DA3D5F396(好啦我的Bitlocker密鑰^^),強制給你這種密碼不用大小寫(你自己說容易破解的嘛)、不用年年換,但每次都要輸入且不能複製貼上
你是會比較喜歡是吧?
不用那麼極端,解決問題方法也不是只有你想的兩條路。只要提供使用者自行改密碼,不要強制用身分證字號就可以了。同理銀行ATM提款卡也是會提醒用戶不要用生日這種容易被破解的密碼。

ps. 很多資安專家已有教怎麼設好記又強的密碼了,像 LeedsWalkCafeWork 四個不相干的單字組合就非常安全,再搭配密碼管理器。像你的 Bitlocker 這種密鑰拿來當密碼很安全但不實際,因為你不可能每個網站都用腦記這麼複雜又不重複的密碼。

pps. 複製貼上並不一定不安全,如果搭配安全的密碼管理器,不每次輸入整個密碼反而可以防止 Keylogger 的側錄攻擊。
2024-01-18 14:29 #15
wangcm
wangcm
1103分
16樓
wangcm
wangcm
個人積分:1103分
文章編號:89017062
一定要加密的原因是金管會要求只要牽涉到個資就必須加密(不然就罰錢,金管會最喜歡罰錢了),不能改密碼是因為以資安稽核的要求系統中是不能儲存使用者未加密或是有加密但可以還原的密碼,而加密時就須要未加密的密碼,so....解法其實不是沒有,就是用S/MIME之類加密,問題是使用者自己要去申請S/MIME的憑證,而且要匯入MUA(例如Outlook之類),光這點可能就會打敗90%以上的user了,更麻煩的是某些public mail provider並沒有支援S/MIME(例如Gmail的個人版,原因應該也是不能儲存user的private key),那樓主可以提出比較可行的方法嗎....
2024-01-18 18:39 #16
yt8019
那有什麼其它辦法呢?
2024-01-18 22:22
wangcm
鵝就是資質駑鈍,才會問您有沒有比較可行的辦法啊[笑到噴淚]....
2024-01-18 22:41
yt8019
yt8019
48分
樓主
yt8019
yt8019
個人積分:48分
文章編號:89017260
wangcm wrote:
一定要加密的原因是金管會要求只要牽涉到個資就必須加密(不然就罰錢,金管會最喜歡罰錢了[]),不能改密碼是因為以資安稽核的要求系統中是不能儲存使用者未加密或是有加密但可以還原的密碼,而加密時就須要未加密的密碼,so[]....


銀行跟我說的原因是說因為怕客人申請的時候 email 地址填錯,帳單寄到別人信箱會被別人看光光。🤷
但這明明是簡單的 email 驗證信就可以解決的問題。

放身分證字號沒有比較好,去 Gmail outlook 搜尋自己身分證字號大概都可以找到含有自己身分證字號的信。 有人駭入你的信箱真的要找只是幾秒鐘的問題。

甚至有些銀行寄的行銷 email 收件人就寫上身分證字號:

To: A123456789 ([email protected]

目前不每封信重新輸入密碼的解法就是 Microsoft PowerAutomate 存到雲端硬碟,再跑一個解密 PDF script。
2024-01-18 19:25 #17
wangcm
wangcm
1103分
18樓
wangcm
wangcm
個人積分:1103分
文章編號:89018118
yt8019 wrote:
甚至有些銀行寄的行銷 email 收件人就寫上身分證字號:

To: A123456789 ([email protected]


金融業的主管機關就是金管會,真有這種狀況的話您只要去金管會填form,保證那間銀行吃不完兜著走(意思就是罰錢啦),然後他們就會把您的資料永久剔除在行銷名單之外了....
2024-01-18 22:47 #18
ren1244
ren1244
525分
19樓
ren1244
ren1244
個人積分:525分
文章編號:89023407
wangcm wrote:
不能改密碼是因為以資安稽核的要求系統中是不能儲存使用者未加密或是有加密但可以還原的密碼,而加密時就須要未加密的密碼...(恕刪)

加密時不需要未加密的密碼
PDF 加密有很多種方法
RC4 跟 AES 在 128 bit 加密下的確很難不儲存原始密碼
但是 AES 256 bit 的模式可以擷取中間過程雜湊過的原始密碼儲存在資料庫
後續加密可以直接取這個值來加密即可
但要實現這功能得自行開發或從現有套件去改
現在很多軟體公司都不大願意去做一些底層的功能了
但允許使用者變更密碼又不用儲存原始密碼技術上是做得到的(雜湊後不可還原)
2024-01-19 19:45 #19
JQJQ
JQJQ
770分
20樓
JQJQ
JQJQ
個人積分:770分
文章編號:89027301
pdf 不要密碼,直接跟問銀行如何變更。通常強制密碼,雖然可以改。

密碼這玩兒,只是防君子。
2024-01-20 20:31 #20
我要回覆

小惡魔廣編特輯

叛逆小鋼炮!YAMAHA Force 2.0日夜都有型!
Samsung Galaxy A55|A35 5G高顏值輕旗艦、夜拍功能全面升級!
隨身形象管理師 Panasonic 「LAMDASH PALM IN」電動刮鬍刀 ES-PV6A
關閉廣告
顯示廣告
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!