现在各路网站纷纷将支付密码从复杂密码转为六位数字密码是什么原因？
11:11:47 +08:00 · 8922 次点击
某次因为开着 ss 走了一次淘宝购物流程就把我的支付宝打入风险模式，不能进行 web 登录了，如果要重置密码的话，就得强制修改我的支付密码，我的原支付密码是十几位数字密码大小写混合，现在只允许我使用六位数字，支付宝客服小妹声称六位数字组合不止一百万个，复杂度秒杀你的数字密码组合，连银行都在用......扶头叹气
这几天京东移动端也不停的提示让我修改支付密码了
我不明白这是什么路数？ 我十几位密码很占用你的数据库么？
71 回复 &| &直到
23:02:58 +08:00
& & 11:14:36 +08:00
有很大的阴谋
& & 11:14:58 +08:00
再下一盘大棋
& & 11:15:32 +08:00
对于不能爆破的系统， 6 位足够了。
& & 11:16:26 +08:00
因为 [ 银行都在用 ]
& & 11:16:53 +08:00
银行那种，一天试 3 次就被锁卡，要柜台激活， 6 位足以
& & 11:17:07 +08:00
占领手机支付端呗
& & 11:18:25 +08:00 via iPhone
方便付款吧，支付密码输错 3 次还是 5 次就会停一段时间，或者重设密码。所以长密码也没什么优势
& & 11:21:12 +08:00 via Android
方便线下付款吧？不过这样密码 hash 被人拿到就等于丢了
& & 11:23:26 +08:00 via iPhone
方便用户扩大占有率和支付效率，至于安全嘛，就算被盗了也有大把理由让用户自己负责。
& & 11:24:13 +08:00
对外界， 6 位密码配合公司内部安全系统，再加上保险，对客户和公司都足够安全了。
对▉▉部门，无需公司提供 Master Key 也可以秒爆破，方便实惠。还可以顺便还给公司落下个 [我们绝对没有给▉▉部门留后门] 的好名声。
& & 11:24:43 +08:00
@ 加盐再 hash 就不怕了吧
& & 11:25:36 +08:00
其实是这样子的。设置一个很复杂的密码然后帐号被盗了特别是被脱裤了的时候你可以肯定不是自己的责任！
而让你设置 6 位密码这种的时候，他可以说你密码过于简单之类的被人穷举了，责任不在他！
奸商啊！
& & 11:27:25 +08:00 via Android
@ 我觉得能拿到 hash 的人有足够能力和动力拿到 salt
& & 11:34:45 +08:00
就像银行卡，虽说是每天只能尝试 3 次，但是万一被人猜对了，就认为是用户泄漏密码全责,.,
都是一个套路，推卸责任
& & 11:34:57 +08:00
短信验证的 6 位验证码
都是基于时间加密的 最早来源于 google 的 TOTP
& & 11:35:18 +08:00 via Android
应该是培养用户习惯吧，潜移默化的改变用户对于公司的印象，从一个普通的网站变身为具有天然信任度的银行机构。想必绝大多数人的六位支付密码和银行密码是相同的。
& & 11:35:50 +08:00
方便付款，并且以前输完密码还需要点击确认才能付款，现在一般都是输完密码就完成付款了，没有确认按钮了。
& & 11:38:31 +08:00 via iPhone
客服小妹声称的六位数字组合超过 100 万个是怎么做到的？←_←
& & 11:39:11 +08:00 via Android
顺便规避用户复用密码产生的风险，现在的泄露的密码库真是太多了。真要撞库分分钟就有大批账户被盗。
& & 11:42:34 +08:00
支付宝客服小妹数学也是不错 10^6 大于 100 万
& & 11:44:53 +08:00
当一个大到不会死的公司里的一位无知+脑洞大+鲁莽的产品经理为了解决一个若干年后就不存在的需求时，使用了一个极端错误的方法，并将这种方法称作“创新”和“提升”之后，其他公司里无知+脑洞大+鲁莽的产品经理便有了这样做的理由。
& & 11:49:26 +08:00
我就想到为后续自家银行做铺路……
& & 11:53:36 +08:00
因为有了短信验证码之类的双重验证
就和你用 U 盾之类的时候你只需要设置一个简单地 PIN 码即可
前提是你需要有 U 盾之类的认证介质
而且 PIN 码输错一定次数会锁定 U 盾
但是招行这一类改版后手机号+6 位 PIN 码登陆不进行短信验证
导致大量用户被买理财的事情来说招行纯傻逼
后面才在登陆的时候强行进行的短信验证
& & 12:53:55 +08:00
& & 13:02:36 +08:00 via iPhone
方便付款。你在线下用手机支付的时候，更喜欢选择密码短的来支付，因为快。
我们店的统计数据，微信支付平均支付时间 10 秒，支付宝则是 45 秒…
& & 14:27:45 +08:00 via Android
死活不去改。撞中 6 位数密码的概率比复杂密码大多了
& & 14:30:12 +08:00 via Android
@ 先跑个彩虹表
& & 14:41:07 +08:00
就是方便付款，在许多用户眼里，便捷的付款方式比安全更重要。
之前京东使用白条支付时，也需要输入字母+数字的支付密码，而且如果使用优惠券了，也要输入一次，搞得我都直接在通知栏里放了个一键复制密码的操作，安全性也好不到哪里去。
现在 6 位密码好多了，虽然相对不安全，但买得开心啊。
& & 15:00:27 +08:00
客服小妹也是计算机毕业，三个 0 是 M ， 6 个 0 是 M ， M 就是百万了 QAQ
& & 15:03:22 +08:00
反正钱丢了也是必须客户举证被盗才负责，他们什么也不怕
& & 15:09:48 +08:00
因为微信支付是六个数字~
& & 15:13:24 +08:00
反过来爆的话，如果我有一百万个帐号，那我随便试一个秘密肯定有不少中的吧
& & 15:25:35 +08:00
密码应该有 2 个,一个本地设备密码,简短,一个核心密码复杂,这才是应该的做法吧,
都变短小,就必须用其他验证方式规避风险了,密码也就是象征性的了.
& & 15:44:12 +08:00 via iPhone
足够「自信」的企业才会采用 6 位支付密码，这是我的观点。虽然账号被盗损失案件屡见报端，但国内大企业在金融支付这块儿的技术还是值得相信的。
& & 15:47:20 +08:00 via iPhone
@ 我印象中只有在常用环境下才能只用到支付密码，如果别人可以开始撞你的支付密码了，那说明其他环节已经出问题了。比如账号密码泄露，设备丢失还不锁屏
& & 17:18:14 +08:00
不好意思一下 @这么多…… 主要是你们都没有提到一个问题，那就是 6 位数字密码，别人看着你输入一次就可以记住，但是如果你是 16 位纯数字，别人是无法一次性记忆的。这才是用户眼中的安全性，而不是什么 6 位密码可能性有一百万种，每天限制输入只能几次……没可能被盗……还有什么加盐，我就问你们一句话，有人看着你输密码， 6 个数字，一次性记住你的密码有什么难度？？？？？？
@ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @
& & 17:19:45 +08:00
再强大的加密手段 再强大的安全策略 密码都是要用户去输入的 用户所在的环境各式各样， 6 位密码太容易被偷看了，我就说这么多，请随便喷！
& & 17:22:11 +08:00 via iPhone
@ 记住了也要在常用设备上用。知道银行卡密码也要先偷到卡。支付密码是第二道防线，不是唯一一道
& & 17:29:23 +08:00
@ 记住你密码，还得拿到你常用设备，拿到你常用设备还得有屏幕解锁密码
6 位密码肯定不安全呀，试试 V2EX 账户全部要求 6 位密码，就不一样的安全度了
6 位支付密码的安全性是建立在其他的保障体系下的
& & 17:30:00 +08:00
@ 不好意思 因为是 6 位数字 所以我包括银行卡都是一样的密码……
各种地方的密码规则都不同，这样的那样的，已经设计了好几套了，每种再细化实在是没能力记住，而且一旦其中一个被逼要改（比如服务方说你这个必须改，还不能和以前的相同，那我又需要多设计一个密码），所以求安全性而不是易用性。
简单的说，我不想泄漏任何一个密码，银行卡在使用的时候很难被偷看到，但是手机就呵呵了。
& & 17:30:17 +08:00
不好意思 因为是 6 位数字 所以我包括银行卡都是一样的密码……
各种地方的密码规则都不同，这样的那样的，已经设计了好几套了，每种再细化实在是没能力记住，而且一旦其中一个被逼要改（比如服务方说你这个必须改，还不能和以前的相同，那我又需要多设计一个密码），所以求安全性而不是易用性。
简单的说，我不想泄漏任何一个密码，银行卡在使用的时候很难被偷看到，但是手机就呵呵了。
& & 17:40:47 +08:00 via iPhone
@ 在超市便利店用卡，看到密码也很容易。
不想泄露密码，是不是不提供支付密码这个功能，只要登录就支付更好？这个功能可以大幅降低风险，这就足够了。
如果对在线支付不放心，可以不用。如果想要复杂的二层密码，为什么不要求设置三层，四层？用户体验也很重要，只要风险控制在一定范围内，就没必要追求万无一失，实际也没有万无一失的事情
& & 17:46:32 +08:00
感觉他们在赌指纹支付占据未来大面积用户支付习惯吧
& & 17:59:45 +08:00
@ 6 位密码的安全性建立在密码与设备绑定的基础上，即满足以下条件：
1. 该 6 位密码仅用于该用于该设备，不同设备 6 位密码不同，密码泄露但设备未被拿走的情况下该密码完全无用
2. 最核心功能依旧需要原复杂密码（如修改帐号信息、修改密码等），支付不属于“最核心功能”
3. 6 位密码输入多次后需锁定设备，使用原复杂密码才可解锁恢复 6 位密码
即便你是多设备共享同样的 6 位密码的，在你不丢失任何设备的前提下，对方拿到 6 位密码依旧是没用的，因为它不能在网站上直接使用这个密码
所以要用你的 6 位密码破解你的帐号就必须有以下所有条件：
1. 看到并记住了你的 6 位密码
2. 拿到了你的设备，无论盗抢捡，当然你共享密码的话可能拿不同的设备也成立，但总之必须有设备在手
3. 能通过你的设备的锁，比如指纹解锁等
我不认为这样的防线比一个单一的复杂密码差，因为设备的物理安全是远胜于信息安全的。如果你能同时满足以上条件，应该是被绑架了吧……
我并不了解京东是如何设计的（在京东我只用 apple pay ），但如果京东不遵循这几项，我只能说京东过于垃圾根本不明白简易密码的价值和安全风险
而楼上讨论 6 位密码冲撞率多少、是不是被人看见的，都是在瞎说， 6 位密码的安全性和这些根本毫无关系
& & 18:05:13 +08:00
使用简单密码的前提是已经验证过了复杂的登陆密码或者已经获得了你已经登陆过的手机设备
比如手机在你身边锁屏幕的四位 PIN 码和你手机云端同步账户的大小写混合的密码必然不同
你的六位密码泄露要不然拿到了你的银行卡，要不然猜到了你的复杂密码，要不然捡到了你解锁的手机否则想要消费你的账户还是有一定难度的
& & 18:12:10 +08:00 via Android
这更加需要密码管理了，想象一下你的银行卡被撞裤
& & 18:23:34 +08:00
我看了下帖子，貌似我跟你是在一边的。
我觉得 6 位数字密码是完全不安全的，不应该只是考虑技术层面上的那部分内容，你还需要考虑用户要如何设置密码。
比如你看， 6 位数字可以代表 1 个人的出生年月，或者三个人的出生时间，又或者手机号码中的几位甚至是自己喜欢的吉利数字等等。这样 10^6 可能完全就是不可达到的熵。
至于设备绑定，看似更加安全，比如用 Apple 的安全机制来保护用户的第一层安全（确认打开程序的是用户自己）。但其实是一种“安全分担”，因为实实在在的依赖了一个无法控制的外部条件。这样很容易由“多方确认”变成“ Multi-Point of passthrough ”，反倒不利于安全性（考虑到程序会有 Bug ，并且程序和业务一直在变动和重构的情况下）。
所以我认为 6 位密码肯定是在降低安全性，或者说牺牲了安全性来换取一定的便捷程度。
但至于这样是不是合理，还需要时间考验。就是说，需要知道到底会不会有人因为这样的 6 位密码导致自己的账户被盗，如果有，有多少。
& & 19:18:21 +08:00 via Android
@ 不是每天 3 次 是一个生命周期 3 次
& & 19:29:47 +08:00
用苹果手机的话有指纹，手动输入 6 位数字的场景已经很少见了。
对于没有指纹的手机来说，线下支付的时候用 6 位 pin 肯定比手动输入一串复杂密码方便了。在重要操作（修改密码 /修改账户信息）仍旧需要复杂密码或者其他验证方式的情况下，我认为支付时使用 6 位数字牺牲的一点安全性是可以接受的。
至于楼上有人拿这个事来上纲上线攻击政府的，我只能说 MDZZ ，已 block 。
& & 19:56:51 +08:00
这么多人我估计也没没有仔细看回复,至少我认为你没看懂我的回复.
记住设备密码没用,首先你得抢到我设备.然后现在的机器基本上都会锁屏吧,你说这个与复杂设备密码比哪个安全?
& & 19:58:31 +08:00 via Android
因为现在很多网站开启了短信验证，国外的有二级验证。
& & 19:59:17 +08:00 via iPhone
@ 喝喝 直接冻结 用得着这么麻烦 喝喝
& & 20:05:45 +08:00
总之一个是通过复杂密码提高安全性,但是这个密码如此重要以至于丢失就完蛋,而另外一个把密码的重要性弱化,分担到其他地方,比如手机设备的短信,指纹识别等等.是放一个篮子里安全还是放多个篮子里安全?
& & 20:30:08 +08:00 via Android
@ 所以问题来了，加上别的的篮子，和减弱密码复杂度有什么关系呢。所以问题在于：是他们而不是我们想减弱密码强度。
& & 20:51:20 +08:00
@ 减弱密码复杂度当然为了方便,你要手机支付输入个复杂无比的密码我也无话可说.放多个篮子可以弥补减弱密码复杂度导致的安全性降低.
& & 21:47:52 +08:00 via Android
@ 所以问题就在这里，它们想减弱密码复杂度，我不想（我希望在手机支付时输入符合密码学安全的复杂密码），所以有矛盾；它们不想解决这个矛盾，所以我不用那些服务。
& & 21:53:58 +08:00 via Android
@ 我就是说概率性的问题。输对 6 位数比复杂密码概率不是很大吗
& & 22:07:57 +08:00
@ 是的。但并没什么用
& & 00:03:55 +08:00
简单方便，还要什么别的理由呀。
& & 01:47:19 +08:00 via iPhone
@ 可以用指纹
& & 06:21:10 +08:00 via Android
@ 指纹属于你有但不是你知类型的机密，所以额外增加指纹+减弱的密码并不能在所有方面提高安全性。问题出在这里，如果有人想用复杂密码+指纹同时经过验证的形式（显然这样是最安全的）来完成支付，就会破坏支付宝的移动支付大计，所以它绝不会允许用户使用复杂支付密码。
& & 08:07:58 +08:00 via iPhone
我也是站在你这边的，好不容易让各大商家养成了大写加加小写加数字的好习惯，现在又回去了……而且提到 6 位数密码，我想很多人的密码肯定跟银行卡密码有联系吧……
& & 09:26:44 +08:00
我记错的..这个做法是微信带起来的..然后支付宝也照着做了..
& & 10:13:15 +08:00
感觉阴谋论的人不少啊，各种推卸责任也出来了。
我不是针对谁，我只想说他们即使不用 6 位密码一样的推卸责任。
其次我想说，手机付款的时候越快越好吧，输入十几个字符想想我都不会去用手机付款，银行卡多好。
最后表示，反正我也没有多少钱，快点去拖库把 hash 给拿了好不好各位黑客大大们。
& & 10:37:20 +08:00
你好，我是做支付的。
实际上支付短密被别人看到也不会造成很大的影响。
可以用短密的设备都是标记过的“可信设备”“可信设备”“可信设备”，并且支付过程中会有风控系统通过支付系统采集的数据对此次支付做分析，其他人拿你的支付密码在其他设备上支付会被风控系统拦截。
当然，你手机丢了，锁屏密码丢了，支付短密也泄露了，那神都救不了你了。
& & 10:47:44 +08:00
因为那些项目组里面有帮人看了 Growth Hacker 之后就入迷了，开始『仔细』的『分析』用户行为，最后得出用户在输入密码上耗时太久了！
讲真，要不是律师的阻拦，这帮人都能把密码直接给去了
& & 11:30:56 +08:00 via iPhone
@ 我也觉得 6 位数字不安全，
但是我并不用支付宝，不是因为数字密码的原因，而是因为太流氓
& & 12:02:19 +08:00
你们觉得指纹更安全呢，还是 6 位数字密码更安全？
& & 12:04:40 +08:00
@ 数字，因为数字可以更换 。。。指纹嘛 。。。
& & 22:03:41 +08:00
@ 这客服和你的数学都不行啊， 10^6 分明就是等于一百万，怎么会“超过”呢？
& & 23:02:58 +08:00
@ 所以说你们好奇怪，凭什么认为“可信设备”就不会被别人使用呢？凭什么认为别人就不会复制设备标识伪造一个“可信设备”呢
& · & 665 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 21ms · UTC 22:18 · PVG 06:18 · LAX 15:18 · JFK 18:18? Do have faith in what you're doing.ios9怎么将六位密码改成4位数?
互联网 & 发布时间： 11:06:06 & 作者：佚名 &
ios9怎么将六位密码改成4位数?现在iOS 9系统中，纯数字的锁定密码默认为6位数，因此很多朋友都在咨询这个问题，希望能对大家有所帮助
现在iOS 9系统中，纯数字的锁定密码默认为6位数，由原来的一万种密码组合方式提升到现在的一百万种，安全性上来讲，确实是增加了不少，因为我们都知道，银行卡的取现、交易密码也是六位数。不过，纯数字真的最多只可以设置6位数？然不是，可以是4位、5位、6位、7位&&甚至更多，不过应该没有人设置那么冗长的锁定密码吧？除了更多，还可以更少，比如1位、2位、3位！然后讲文兄的密码更为神奇英文加数子的密码。
1、在iPhone手机主屏上找到 【设置】
2、打开【设置】&【Touch ID与密码】，点击打开。
3、这时，系统需要我们输入原来的锁定密码。
4、输入原来的锁定密码，然后点击右上角的【完成】
5、进入【Touch ID与密码】的设置页面中，往下翻页，找到【更改密码】选项，直接打开
6、为了确保本次操作为机主本人，这时仍然需要我们输入原来的旧密码，然后再点击右上角的【下一步】
7、密码验证正确之后，进入新密码设置页面，这时，我们可以看到系统默认的6位数密码，当然我们也可以不这么设置，点击下方的【密码选项】
8、页面底部这时弹出一个菜单栏选项，分别可以把密码设置为自定字母数字密码、自定数字密码以及6位数字密码等，这里，我们如果想设置任意位数的数字密码的话，那么直接选择【自定数字密码】
9、进入新密码的设置页面，根据自己的习惯设置新的数字密码，不限位数，点击右上角【下一步】
10、再次输入一致的数字密码，然后点击右上角的【完成】按钮就可以了。
以上就是ios9怎么将六位密码改成4位数方法介绍，大家学会了吗？这篇教程能对大家有所帮助！
大家感兴趣的内容
12345678910
最近更新的内容如何破解4位数密码锁头，我这有一个金属的4位数密码锁头，但是忘了密码，我想知道密码，求破解方法
var sogou_ad_id=731549;
var sogou_ad_height=160;
var sogou_ad_width=690;三位数的密码箱密码被调过之后忘了，求高手支招呀_百度知道
三位数的密码箱密码被调过之后忘了，求高手支招呀
三位数的密码箱密码被调过之后忘了，求高手支招呀，箱子是广明亚公司的，在网上看到什么凹槽之类的述说，对应的数字是333，但是我试了全部三个数字一样的都打不开
我有更好的答案
从侧面看密码，并转动密码转盘，你会发现其中有一个有凹槽，记下凹槽所对应的数字，其它两个同样，得到三个数字。例如得到的是1、2、3，然后每个数字加一得到2、3、4，在加一3、4、5，再加一得到4、5、6依次进行试10次 其中一次是正确的
采纳率：50%
先把前两位值为00，然后转动第三位。如果到达某一个位置后是正确密码就自然开了。这样以此类推，最多十分钟就可以打开箱子了。
很简单，拿个起子，撬了它。
撬锁大法1：听声音，合适的位置为听到‘叮’的一声。撬锁大法2：破译，经过认真的研究推理，你当时的想法，密码应该是xxx。撬锁大法3：一个一个试，3位数最多也就1000种嘛。注：以上方法仅供参考，如都不适用，请选择最快捷，最有效的方法之：锤子砸，啪一声之后就能开了。
按住开锁的两边，从000开始，逐个数字试，从最边上的齿轮开始转，一圈中间换一个数字，到999，其中你突然按动的时候，炸弹就炸了
引用的回答：从侧面看密码，并转动密码转盘，你会发现其中有一个有凹槽，记下凹槽所对应的数字，其它两个同样，得到三个数字。例如得到的是1、2、3，然后每个数字加一得到2、3、4，在加一3、4、5，再加一得到4、5、6依次进行试10次 其中一次是正确的
我不是来纠错的，是想说，这个方法太棒了，真的按照他的方法就连续试几次就成功了
4条折叠回答
为您推荐：
其他类似问题
三位数的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。