当前位置： >
为何银行卡的密码设六位数?银行卡密码设六位数安全吗?
14:44　　来源：十万个为什么　
现在每个成年人都会有自己的银行卡，有的还不只有一个，但是关于银行卡方面有些人也会感到疑问，那就是为什么银行卡的密码都是六位数?数越多不是越安全吗?小编为你解答为何银行卡的密码设六位数?银行卡密码设六位数安全吗?
为什么银行卡的密码是六位数?
诸如很多人所说，很多地方的密码还是4位的，其实复杂密码和简单密码的区别主要是在抗暴力破解方面的优势。现在计算能力如此高的情况下，不够长的纯数字密码几乎经不起计算机的暴力破解，但包含字母、标点符号的密码抗暴力破解的能力大大增加。但银行系统、 ATM 、电话银行等等方面你无法进行暴力破解，所以，简单密码的弊端几乎被回避。且现在网络银行因为使用各种认证方式的配合，你也无法进行暴力破解。
2、历史原因
早期的整个银行系统计算和存储性能很有限，高昂的计算机成本导致提供复杂密码的成本太高。且在国外很多支付情况下对密码的依赖性不高，很多时候是靠签名、复写等等方式即可满足需求。
3、越简单的密码输入设备，越能适配更多的系统和设备
正式简单的纯数字密码，可以延伸至电话、手机等等简单设备的输入支持，可以实现电话银行等等功能。
4、大大降低设备的输入设备成本
设想一个包含字母、符号、数字的全键盘成本高，还是简单的数字键盘成本高。特别是在 ATM 等等设备上，这样不同的输入设备的价格差距更大。
所以说，银行卡设六位数密码还是很安全的，既不用担心会忘记密码也不用担心密码不安全。阿福贝贝旗舰店
在银行卡和支付宝频繁使用的今天，不管是哪一种支付方式，支付的密码都是6位数，这是为什么呢？
小编也是才知道，来普及下~
【7&2法则】
年轻人的记忆广度大约为7个单位，因此从记忆力上来说6位是最符合短时记忆的。如果达到7个及以上大部分人就很难对其短时记忆，如果是年龄稍大的就更难说了。原来是为了照顾到老爷爷老奶奶，从密码位数体现尊老爱幼，一绝！
【减少失误】
密码的位数越多，错误的可能性越大。如果加大密码位数的话，持卡人输错密码的概率会增加。在目前三次密码试错之后，就必须到柜台进行进行办理，这样每天到银行办理密码挂失的人超过办理其他正常业务的人，这会使得其他业务得不到正常办理。六位数也避免了不少麻烦~
【无字母】
全部使用数字已经足够了，用六位数字的密码，有10的六次方中可能性，就是说有100万种密码，基数还是非常大的哦！选择全部数字作密码是历史原因决定的，从很早开始就是使用六位数的密码，小编一出生就是这样了，哈哈哈~查看: 6880|回复: 34
支付宝现在改成6位纯数字密码，安全吗？
在线时间 小时
本帖最后由 济州岛连襟 于
08:35 编辑
& & 刚刚坐在办公室，用电脑支付宝给亲朋好友发红包（电脑支付宝可以同时发红包给多人）。一个红包一千元，大家均等。发现原来的字母加数字14位密码，被固定改成6位数字密码了，而且也不需要手机短信验证，这和微信发红包密码（支付密码）一个样了，都变成数字6位密码了，这样安全吗？
& &这是和微信竞争的结果，可能怕大家嫌麻烦，都和微信支付密码一个样，都是数字六位密码了。不过还是支付宝方便，电脑和手机都可以支付，微信只能手机支付。现在支付宝也收取手续费了，0.2%手续费，1000元2元手续费，大家认为手续费高不高？
& &微信手续费现在还是免费的，不过转账额度太低。账目清楚，一目了然，还是支付宝，支付宝是响当当的第三平台支付老大哥！
在线时间 小时
偶哩从来否用个种么丝嘀,只相信国家开个银行..&&
在线时间 小时
使用习惯问题
在线时间 小时
头像被屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
在线时间 小时
小刘的弟弟2.0版 发表于
你不是吧？都已经改了n久了，看来你不是支付宝忠实用户啊，现在出门都是支付宝
平常都是手机支付宝，今天用电脑支付宝，不一样的，绝对的。
现在用电脑支付宝的比例很低了。
在线时间 小时
非凡叔 发表于
连襟怎么整天神经兮兮的？
谁告诉你支付宝只能6位数密码了？？？
只能六位数字，就有六个空格可以使用，而且必须纯数字。
可能是为了应付超市手机支付宝付款方便，节省时间吧？
在线时间 小时
头像被屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
在线时间 小时
只能六位数字，就有六个空格可以使用，而且必须纯数字。
可能是为了应付超市手机支付宝付款方便，节省 ...
超市付款压根不要你输密码好吗
在线时间 小时
cayman 发表于
超市付款压根不要你输密码好吗
是扫描，最开始是需要输入密码，后来取消，改成扫描的了。
在线时间 小时
大惊小怪，早就是这样了
真想搞你钱，再复杂的密码也没用，你钱早就没了
用支付宝你得信任马云
在线时间 小时
支付宝转帐要收费了？？？？我晕，我天天转几笔的我怎么没发现
在线时间 小时
没有啊， 我刚看了眼，我的转帐金额一栏里有灰色，“免服务费”
在线时间 小时
头像被屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
在线时间 小时
是我叫马云改的，以前密码要数字英文字母，非常不方便，我向支付宝提了，说再这样，我只能不用了，过了几天就改全数字了。
在线时间 小时
keawei 发表于
支付宝转帐要收费了？？？？我晕，我天天转几笔的我怎么没发现
已经收费了的。
在线时间 小时
keawei 发表于
没有啊， 我刚看了眼，我的转帐金额一栏里有灰色，“免服务费”
0.2%手续费的
在线时间 小时
以后你们的工资都在支付宝上拿
在线时间 小时
0.2%手续费的
我转帐没看到有差额啊，在哪看啊
在线时间 小时
0.2%手续费的
昏说乱话，我今天还发了几笔，没收手续费。
在线时间 小时
keawei 发表于
我转帐没看到有差额啊，在哪看啊
要电脑支付宝才可以看到
举报电话：&&论坛邮箱：|||||
Powered by拒绝访问 | www.jq22.com | 百度云加速
请打开cookies.
此网站 (www.jq22.com) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(274376-ua98).
重新安装浏览器，或使用别的浏览器现在各路网站纷纷将支付密码从复杂密码转为六位数字密码是什么原因？
11:11:47 +08:00 · 8961 次点击
某次因为开着 ss 走了一次淘宝购物流程就把我的支付宝打入风险模式，不能进行 web 登录了，如果要重置密码的话，就得强制修改我的支付密码，我的原支付密码是十几位数字密码大小写混合，现在只允许我使用六位数字，支付宝客服小妹声称六位数字组合不止一百万个，复杂度秒杀你的数字密码组合，连银行都在用......扶头叹气
这几天京东移动端也不停的提示让我修改支付密码了
我不明白这是什么路数？ 我十几位密码很占用你的数据库么？
71 回复 &| &直到
23:02:58 +08:00
& & 11:14:36 +08:00
有很大的阴谋
& & 11:14:58 +08:00
再下一盘大棋
& & 11:15:32 +08:00
对于不能爆破的系统， 6 位足够了。
& & 11:16:26 +08:00
因为 [ 银行都在用 ]
& & 11:16:53 +08:00
银行那种，一天试 3 次就被锁卡，要柜台激活， 6 位足以
& & 11:17:07 +08:00
占领手机支付端呗
& & 11:18:25 +08:00 via iPhone
方便付款吧，支付密码输错 3 次还是 5 次就会停一段时间，或者重设密码。所以长密码也没什么优势
& & 11:21:12 +08:00 via Android
方便线下付款吧？不过这样密码 hash 被人拿到就等于丢了
& & 11:23:26 +08:00 via iPhone
方便用户扩大占有率和支付效率，至于安全嘛，就算被盗了也有大把理由让用户自己负责。
& & 11:24:13 +08:00
对外界， 6 位密码配合公司内部安全系统，再加上保险，对客户和公司都足够安全了。
对▉▉部门，无需公司提供 Master Key 也可以秒爆破，方便实惠。还可以顺便还给公司落下个 [我们绝对没有给▉▉部门留后门] 的好名声。
& & 11:24:43 +08:00
@ 加盐再 hash 就不怕了吧
& & 11:25:36 +08:00
其实是这样子的。设置一个很复杂的密码然后帐号被盗了特别是被脱裤了的时候你可以肯定不是自己的责任！
而让你设置 6 位密码这种的时候，他可以说你密码过于简单之类的被人穷举了，责任不在他！
奸商啊！
& & 11:27:25 +08:00 via Android
@ 我觉得能拿到 hash 的人有足够能力和动力拿到 salt
& & 11:34:45 +08:00
就像银行卡，虽说是每天只能尝试 3 次，但是万一被人猜对了，就认为是用户泄漏密码全责,.,
都是一个套路，推卸责任
& & 11:34:57 +08:00
短信验证的 6 位验证码
都是基于时间加密的 最早来源于 google 的 TOTP
& & 11:35:18 +08:00 via Android
应该是培养用户习惯吧，潜移默化的改变用户对于公司的印象，从一个普通的网站变身为具有天然信任度的银行机构。想必绝大多数人的六位支付密码和银行密码是相同的。
& & 11:35:50 +08:00
方便付款，并且以前输完密码还需要点击确认才能付款，现在一般都是输完密码就完成付款了，没有确认按钮了。
& & 11:38:31 +08:00 via iPhone
客服小妹声称的六位数字组合超过 100 万个是怎么做到的？←_←
& & 11:39:11 +08:00 via Android
顺便规避用户复用密码产生的风险，现在的泄露的密码库真是太多了。真要撞库分分钟就有大批账户被盗。
& & 11:42:34 +08:00
支付宝客服小妹数学也是不错 10^6 大于 100 万
& & 11:44:53 +08:00
当一个大到不会死的公司里的一位无知+脑洞大+鲁莽的产品经理为了解决一个若干年后就不存在的需求时，使用了一个极端错误的方法，并将这种方法称作“创新”和“提升”之后，其他公司里无知+脑洞大+鲁莽的产品经理便有了这样做的理由。
& & 11:49:26 +08:00
我就想到为后续自家银行做铺路……
& & 11:53:36 +08:00
因为有了短信验证码之类的双重验证
就和你用 U 盾之类的时候你只需要设置一个简单地 PIN 码即可
前提是你需要有 U 盾之类的认证介质
而且 PIN 码输错一定次数会锁定 U 盾
但是招行这一类改版后手机号+6 位 PIN 码登陆不进行短信验证
导致大量用户被买理财的事情来说招行纯傻逼
后面才在登陆的时候强行进行的短信验证
& & 12:53:55 +08:00
& & 13:02:36 +08:00 via iPhone
方便付款。你在线下用手机支付的时候，更喜欢选择密码短的来支付，因为快。
我们店的统计数据，微信支付平均支付时间 10 秒，支付宝则是 45 秒…
& & 14:27:45 +08:00 via Android
死活不去改。撞中 6 位数密码的概率比复杂密码大多了
& & 14:30:12 +08:00 via Android
@ 先跑个彩虹表
& & 14:41:07 +08:00
就是方便付款，在许多用户眼里，便捷的付款方式比安全更重要。
之前京东使用白条支付时，也需要输入字母+数字的支付密码，而且如果使用优惠券了，也要输入一次，搞得我都直接在通知栏里放了个一键复制密码的操作，安全性也好不到哪里去。
现在 6 位密码好多了，虽然相对不安全，但买得开心啊。
& & 15:00:27 +08:00
客服小妹也是计算机毕业，三个 0 是 M ， 6 个 0 是 M ， M 就是百万了 QAQ
& & 15:03:22 +08:00
反正钱丢了也是必须客户举证被盗才负责，他们什么也不怕
& & 15:09:48 +08:00
因为微信支付是六个数字~
& & 15:13:24 +08:00
反过来爆的话，如果我有一百万个帐号，那我随便试一个秘密肯定有不少中的吧
& & 15:25:35 +08:00
密码应该有 2 个,一个本地设备密码,简短,一个核心密码复杂,这才是应该的做法吧,
都变短小,就必须用其他验证方式规避风险了,密码也就是象征性的了.
& & 15:44:12 +08:00 via iPhone
足够「自信」的企业才会采用 6 位支付密码，这是我的观点。虽然账号被盗损失案件屡见报端，但国内大企业在金融支付这块儿的技术还是值得相信的。
& & 15:47:20 +08:00 via iPhone
@ 我印象中只有在常用环境下才能只用到支付密码，如果别人可以开始撞你的支付密码了，那说明其他环节已经出问题了。比如账号密码泄露，设备丢失还不锁屏
& & 17:18:14 +08:00
不好意思一下 @这么多…… 主要是你们都没有提到一个问题，那就是 6 位数字密码，别人看着你输入一次就可以记住，但是如果你是 16 位纯数字，别人是无法一次性记忆的。这才是用户眼中的安全性，而不是什么 6 位密码可能性有一百万种，每天限制输入只能几次……没可能被盗……还有什么加盐，我就问你们一句话，有人看着你输密码， 6 个数字，一次性记住你的密码有什么难度？？？？？？
@ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @
& & 17:19:45 +08:00
再强大的加密手段 再强大的安全策略 密码都是要用户去输入的 用户所在的环境各式各样， 6 位密码太容易被偷看了，我就说这么多，请随便喷！
& & 17:22:11 +08:00 via iPhone
@ 记住了也要在常用设备上用。知道银行卡密码也要先偷到卡。支付密码是第二道防线，不是唯一一道
& & 17:29:23 +08:00
@ 记住你密码，还得拿到你常用设备，拿到你常用设备还得有屏幕解锁密码
6 位密码肯定不安全呀，试试 V2EX 账户全部要求 6 位密码，就不一样的安全度了
6 位支付密码的安全性是建立在其他的保障体系下的
& & 17:30:00 +08:00
@ 不好意思 因为是 6 位数字 所以我包括银行卡都是一样的密码……
各种地方的密码规则都不同，这样的那样的，已经设计了好几套了，每种再细化实在是没能力记住，而且一旦其中一个被逼要改（比如服务方说你这个必须改，还不能和以前的相同，那我又需要多设计一个密码），所以求安全性而不是易用性。
简单的说，我不想泄漏任何一个密码，银行卡在使用的时候很难被偷看到，但是手机就呵呵了。
& & 17:30:17 +08:00
不好意思 因为是 6 位数字 所以我包括银行卡都是一样的密码……
各种地方的密码规则都不同，这样的那样的，已经设计了好几套了，每种再细化实在是没能力记住，而且一旦其中一个被逼要改（比如服务方说你这个必须改，还不能和以前的相同，那我又需要多设计一个密码），所以求安全性而不是易用性。
简单的说，我不想泄漏任何一个密码，银行卡在使用的时候很难被偷看到，但是手机就呵呵了。
& & 17:40:47 +08:00 via iPhone
@ 在超市便利店用卡，看到密码也很容易。
不想泄露密码，是不是不提供支付密码这个功能，只要登录就支付更好？这个功能可以大幅降低风险，这就足够了。
如果对在线支付不放心，可以不用。如果想要复杂的二层密码，为什么不要求设置三层，四层？用户体验也很重要，只要风险控制在一定范围内，就没必要追求万无一失，实际也没有万无一失的事情
& & 17:46:32 +08:00
感觉他们在赌指纹支付占据未来大面积用户支付习惯吧
& & 17:59:45 +08:00
@ 6 位密码的安全性建立在密码与设备绑定的基础上，即满足以下条件：
1. 该 6 位密码仅用于该用于该设备，不同设备 6 位密码不同，密码泄露但设备未被拿走的情况下该密码完全无用
2. 最核心功能依旧需要原复杂密码（如修改帐号信息、修改密码等），支付不属于“最核心功能”
3. 6 位密码输入多次后需锁定设备，使用原复杂密码才可解锁恢复 6 位密码
即便你是多设备共享同样的 6 位密码的，在你不丢失任何设备的前提下，对方拿到 6 位密码依旧是没用的，因为它不能在网站上直接使用这个密码
所以要用你的 6 位密码破解你的帐号就必须有以下所有条件：
1. 看到并记住了你的 6 位密码
2. 拿到了你的设备，无论盗抢捡，当然你共享密码的话可能拿不同的设备也成立，但总之必须有设备在手
3. 能通过你的设备的锁，比如指纹解锁等
我不认为这样的防线比一个单一的复杂密码差，因为设备的物理安全是远胜于信息安全的。如果你能同时满足以上条件，应该是被绑架了吧……
我并不了解京东是如何设计的（在京东我只用 apple pay ），但如果京东不遵循这几项，我只能说京东过于垃圾根本不明白简易密码的价值和安全风险
而楼上讨论 6 位密码冲撞率多少、是不是被人看见的，都是在瞎说， 6 位密码的安全性和这些根本毫无关系
& & 18:05:13 +08:00
使用简单密码的前提是已经验证过了复杂的登陆密码或者已经获得了你已经登陆过的手机设备
比如手机在你身边锁屏幕的四位 PIN 码和你手机云端同步账户的大小写混合的密码必然不同
你的六位密码泄露要不然拿到了你的银行卡，要不然猜到了你的复杂密码，要不然捡到了你解锁的手机否则想要消费你的账户还是有一定难度的
& & 18:12:10 +08:00 via Android
这更加需要密码管理了，想象一下你的银行卡被撞裤
& & 18:23:34 +08:00
我看了下帖子，貌似我跟你是在一边的。
我觉得 6 位数字密码是完全不安全的，不应该只是考虑技术层面上的那部分内容，你还需要考虑用户要如何设置密码。
比如你看， 6 位数字可以代表 1 个人的出生年月，或者三个人的出生时间，又或者手机号码中的几位甚至是自己喜欢的吉利数字等等。这样 10^6 可能完全就是不可达到的熵。
至于设备绑定，看似更加安全，比如用 Apple 的安全机制来保护用户的第一层安全（确认打开程序的是用户自己）。但其实是一种“安全分担”，因为实实在在的依赖了一个无法控制的外部条件。这样很容易由“多方确认”变成“ Multi-Point of passthrough ”，反倒不利于安全性（考虑到程序会有 Bug ，并且程序和业务一直在变动和重构的情况下）。
所以我认为 6 位密码肯定是在降低安全性，或者说牺牲了安全性来换取一定的便捷程度。
但至于这样是不是合理，还需要时间考验。就是说，需要知道到底会不会有人因为这样的 6 位密码导致自己的账户被盗，如果有，有多少。
& & 19:18:21 +08:00 via Android
@ 不是每天 3 次 是一个生命周期 3 次
& & 19:29:47 +08:00
用苹果手机的话有指纹，手动输入 6 位数字的场景已经很少见了。
对于没有指纹的手机来说，线下支付的时候用 6 位 pin 肯定比手动输入一串复杂密码方便了。在重要操作（修改密码 /修改账户信息）仍旧需要复杂密码或者其他验证方式的情况下，我认为支付时使用 6 位数字牺牲的一点安全性是可以接受的。
至于楼上有人拿这个事来上纲上线攻击政府的，我只能说 MDZZ ，已 block 。
& & 19:56:51 +08:00
这么多人我估计也没没有仔细看回复,至少我认为你没看懂我的回复.
记住设备密码没用,首先你得抢到我设备.然后现在的机器基本上都会锁屏吧,你说这个与复杂设备密码比哪个安全?
& & 19:58:31 +08:00 via Android
因为现在很多网站开启了短信验证，国外的有二级验证。
& & 19:59:17 +08:00 via iPhone
@ 喝喝 直接冻结 用得着这么麻烦 喝喝
& & 20:05:45 +08:00
总之一个是通过复杂密码提高安全性,但是这个密码如此重要以至于丢失就完蛋,而另外一个把密码的重要性弱化,分担到其他地方,比如手机设备的短信,指纹识别等等.是放一个篮子里安全还是放多个篮子里安全?
& & 20:30:08 +08:00 via Android
@ 所以问题来了，加上别的的篮子，和减弱密码复杂度有什么关系呢。所以问题在于：是他们而不是我们想减弱密码强度。
& & 20:51:20 +08:00
@ 减弱密码复杂度当然为了方便,你要手机支付输入个复杂无比的密码我也无话可说.放多个篮子可以弥补减弱密码复杂度导致的安全性降低.
& & 21:47:52 +08:00 via Android
@ 所以问题就在这里，它们想减弱密码复杂度，我不想（我希望在手机支付时输入符合密码学安全的复杂密码），所以有矛盾；它们不想解决这个矛盾，所以我不用那些服务。
& & 21:53:58 +08:00 via Android
@ 我就是说概率性的问题。输对 6 位数比复杂密码概率不是很大吗
& & 22:07:57 +08:00
@ 是的。但并没什么用
& & 00:03:55 +08:00
简单方便，还要什么别的理由呀。
& & 01:47:19 +08:00 via iPhone
@ 可以用指纹
& & 06:21:10 +08:00 via Android
@ 指纹属于你有但不是你知类型的机密，所以额外增加指纹+减弱的密码并不能在所有方面提高安全性。问题出在这里，如果有人想用复杂密码+指纹同时经过验证的形式（显然这样是最安全的）来完成支付，就会破坏支付宝的移动支付大计，所以它绝不会允许用户使用复杂支付密码。
& & 08:07:58 +08:00 via iPhone
我也是站在你这边的，好不容易让各大商家养成了大写加加小写加数字的好习惯，现在又回去了……而且提到 6 位数密码，我想很多人的密码肯定跟银行卡密码有联系吧……
& & 09:26:44 +08:00
我记错的..这个做法是微信带起来的..然后支付宝也照着做了..
& & 10:13:15 +08:00
感觉阴谋论的人不少啊，各种推卸责任也出来了。
我不是针对谁，我只想说他们即使不用 6 位密码一样的推卸责任。
其次我想说，手机付款的时候越快越好吧，输入十几个字符想想我都不会去用手机付款，银行卡多好。
最后表示，反正我也没有多少钱，快点去拖库把 hash 给拿了好不好各位黑客大大们。
& & 10:37:20 +08:00
你好，我是做支付的。
实际上支付短密被别人看到也不会造成很大的影响。
可以用短密的设备都是标记过的“可信设备”“可信设备”“可信设备”，并且支付过程中会有风控系统通过支付系统采集的数据对此次支付做分析，其他人拿你的支付密码在其他设备上支付会被风控系统拦截。
当然，你手机丢了，锁屏密码丢了，支付短密也泄露了，那神都救不了你了。
& & 10:47:44 +08:00
因为那些项目组里面有帮人看了 Growth Hacker 之后就入迷了，开始『仔细』的『分析』用户行为，最后得出用户在输入密码上耗时太久了！
讲真，要不是律师的阻拦，这帮人都能把密码直接给去了
& & 11:30:56 +08:00 via iPhone
@ 我也觉得 6 位数字不安全，
但是我并不用支付宝，不是因为数字密码的原因，而是因为太流氓
& & 12:02:19 +08:00
你们觉得指纹更安全呢，还是 6 位数字密码更安全？
& & 12:04:40 +08:00
@ 数字，因为数字可以更换 。。。指纹嘛 。。。
& & 22:03:41 +08:00
@ 这客服和你的数学都不行啊， 10^6 分明就是等于一百万，怎么会“超过”呢？
& & 23:02:58 +08:00
@ 所以说你们好奇怪，凭什么认为“可信设备”就不会被别人使用呢？凭什么认为别人就不会复制设备标识伪造一个“可信设备”呢
& · & 577 人在线 & 最高记录 3541 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 20ms · UTC 20:02 · PVG 04:02 · LAX 13:02 · JFK 16:02? Do have faith in what you're doing.