记者验证银行卡存在漏洞 密码尾数为00需修改

2012年10月12日 10:23   来源:重庆晚报   

 

记者在ATM机上进行实验 记者韩守刚 李坐廷摄


    微博传言:如果银行卡密码后三位设置为000,在ATM机上只输入前四位密码就可取钱。密码后两位设置为00,在部分ATM机输入前四位数即可取钱。近日,微博上流传着这种“银行卡存在漏洞”的说法,不少重庆网友担心本地银行也存在类似情况,降低了银行卡安全度。为此,记者昨日对渝中区大坪周边6家银行的ATM机进行了实验。

    验证1:

    密码后两位设置为00

    昨日,记者将自己两张国有股份制商业银行的银行卡密码设为“121200”,在大坪周边6家银行的ATM机上进行了实验。

    记者首先来到第一家银行,并将两张银行卡分别插入该行ATM机。在输入“1212”后,ATM机显示密码错误。在第二家银行ATM机上尝试输入“1212”时,结果同样是“密码错误”。

    随后,记者又在第三家银行在输入银行卡密码前四位后,ATM机进入到了业务界面。难道真能进行取款、查询余额等操作?记者继续操作后发现,ATM机显示密码错误,要求重新输入密码。在多次只输入四位数密码后,ATM机依然显示密码错误,不能够进入到交易状态。与此状况相同的还有另外两家银行的ATM机。

    当记者在第六家银行ATM机上进行实验时,意外情况发生了。记者先将一张银行卡插入该行ATM机,在输入银行卡密码前四位后,ATM机进入到业务界面,记者接下来按正常操作进行取款,成功取出了100元。接着,记者又将另一个银行的银行卡插入该ATM机,同样成功取出100元。同样的输入方法,在该行柜台也能进行取款操作。

    结论:六家银行中有一家能用前四位密码在ATM机和柜台取款成功,说明存在漏洞。

    验证2:

    密码后三位设置为000

    记者还将两张银行卡的密码改为“121000”,再次在6家银行的ATM机上,只输入前四位数密码进行操作,有三家银行,只显示出交易页面,却不能进行同样的存取款交易。有两家银行,均提示密码错误,不能进入到交易状态。而在上述第六家银行的ATM机上,依然可以进行存款、取款等操作。

    随后,记者来到柜台,将银行卡交与工作人员后,有5家银行提示密码位数不足,无法交易。而在上述第六家银行的柜台,同样只需输入前四位数,即可进入到交易界面。

    结论:六家银行中有一家能用前四位密码在ATM机和柜台取款成功,说明存在漏洞。

    验证3:

    密码后几位为非0相同数字

    在体验过程中,由于银行卡在ATM机上显示出了“不正确密码输入次数超限”的字样,记者来到发卡行柜台取消了“密码错误次数超限”。一发卡行工作人员得知记者的遭遇后,表示不敢相信:“一直都是六位数密码,怎么可能只输入了四位就能取款?”她立即向周围同事咨询,在场工作人员均表示闻所未闻。她建议记者,更改成复杂密码。

    记者后来将银行卡密码后几位数改为“11”、“22”或“111”、“222”等非0的相同数字,再次来到6家银行的ATM机上尝试时,已不能按照上述方法进行取款。

    结论:无法取款。

    释疑

    系统漏洞

    密码位数不足自动补零

    对银行卡曝出的漏洞,部分市民均表示,自己没有遇到过输入前四位数密码就可以取钱的情况。家住渝中区马家堡的付振东说,设置密码时,银行要求大家必须输入六位数,所以不会有人想到要输入四位数密码。他也对网上流传的说法表示担心,“四位数密码降低了破解难度,会为用户的财产安全带来隐患,希望银行方给予重视”。

    昨日,记者向输入密码前四位数就能取款的银行的客服进行了咨询。工号为1326的工作人员表示,这种情况说明该网点银行系统确实属于异常情况,将会通知该网点银行对此进行检查。昨日该行在接受湖南媒体采访时表示,2005年该行核心业务系统升级后,为提高客户储蓄卡的使用安全级别,统一将客户密码由4位升级为6位。为使客户原4位密码能继续使用,银行业务系统自动补齐客户密码6位长度,即将后两位添加为“00”,因此,如果客户储蓄卡设置了6位密码且后两位为“00”,客户输入正确的前4位密码数字,系统也能识别。

    重庆某银行运营保障部张经理告诉记者,虽然每家银行的操作系统不同,但是多数银行中,不管密码尾数是否为零,客户通过ATM机或者柜台交易时必须输入6位数。可能是个别银行的老系统存在漏洞,导致客户输入密码位数不足时,系统自动补零,这样,尾数为“00”的客户,输入前四位数后,就能得到系统认证,进行取款等交易。但系统不会自动补“1”或其他数字。

    提醒

    银行卡密码

    切勿太简单

    中国银联重庆分公司的黄姓工作人员提醒市民,设置银行卡密码时,最好不要为了便于记忆而采用简易密码,如重复的数字、生日日期、电话号码等,密码数字最好与客户本人不相关,从而增加破解难度。

(责任编辑:徐晶慧)

商务进行时