中國的銀行卡的確是六位數，但是國外還有四位數和五位數的密碼。當然他們都有一個共同特點，就是比較短的純數字組成。

為什麼銀行卡這麼重要的東西，會只設置簡短的純數字呢。社交網路的密碼要求都比這個複雜，一般主要8位數以上，還需要大小寫、特殊符號、數字穿插，以至於隔段時間再輸入總是忘記。

首先，從記憶的角度來說，4-6位數字比較好記憶。太長的話記起來費勁。想想11位的手機號碼，人們很難在第一時間記住，要經過反覆記憶才能記準確。對於老年人來說，過長的數字更是一種挑戰。

其次，銀行的系統是比較安全的。從數學的角度來說，即使是4位數，也有10000種密碼，5位數有100000種密碼，6位數有1000000種密碼。對於單純的離線攻擊來說，這麼多種組合並不是一件困難的事情。因此，如果針對性的黑掉一個或幾個銀行卡密碼還是有可能的，但是如果想侵入銀行系統後臺，獲取大量的銀行卡密碼，難度很大。

銀行系統和普通的IT系統不同，銀行的核心繫統和ESB以及其前置體系都超級複雜，並且每個銀行都不一樣，關係錯綜複雜，資料結構也高階，連專業的IT人可能都無法完全弄懂，因此想要進到系統核心更改其資料庫，是根本不可能的。而且銀行的裝置是專線，而普通公網隔離，入侵操作困難，偽裝也困難。

因此，如果想從銀行系統裡黑到錢，主要有以下幾種方法。第一，只入侵某個賬戶，而不是賬戶系統，然後轉賬都某個卡。第二種，利用職權操作；第三種，內部利用應用系統的許可權或漏洞，或者越權操作，隱蔽操作。後兩個，都不需要有大量的IT知識，或技術。

另外，密碼輸入硬體配置的需要。全國如此多銀行網點，每個網點的每個服務視窗都需要配置輸入硬體，即密碼器。如果銀行卡設為純數字，可以減少密碼輸入裝置的複雜程度，減少裝置成本。

我來簡單說一下吧。

首先密碼的加密不只MD5，比如說我可以先雜湊一次，再 MD5，這樣就把他嘗試的第一步直接鎖死了。

其次可以將密碼與服務資料，業務資料等所有資料分離，放在更深的庫裡，還有可以設計不同的對映方式，你知道了卡號，但找不到對應的密碼，因為內部的演算法可以匹配卡號與密碼。外部無法接觸。當然還有安全等級更高的操作。

還有就是危險分析了，在正常的業務中，可以有很多方式分析出是不是正常的操作，在這一步大多數有問題的就可以封死。

最後還有就是大家說的在物理上用U盾這些的，可以加很多層防護，這些要闖進來，那得提前做多少功課啊。

以上僅個人觀點，勿噴。

銀行的密碼不是透過演算法的安全性來保密的，而是透過保密制度來保密的。也就是說，銀行把密碼在銀行的安全性，寄託在密文不被竊取的前提下，這和通常IT網站所認為的不一樣。

至於為什麼，銀行也是有苦衷的。因為大多數ATM只有數字鍵盤，10個字母，就算到10位長度，也不過100億個組合，對於離線攻擊來說，照樣是小case。而10位長度的密碼，已經超過了很多人（尤其是大爺大媽們）的記憶能力了。

所以銀行在技術上無法做到對抗離線攻擊的時候，就只能用別的辦法了：1：銀行中只有極少數人能直接接觸儲戶密碼（密文），而這些人的身份和操作全部會被記錄在案，就算離職，這些資訊也不會被清除。2：涉及儲存及使用這些資訊的電腦網路物理隔離，操作終端攝像頭全程監控－－別想著抄下來。3：攻擊銀行或者金融機構是屬於犯罪行為，刑罰上不封頂－－最高死刑。4：因為是犯罪行為，所以公安會介入。按照非官方公安的說法，這些高科技犯罪反而好破－－沒幾個能玩高科技犯罪的人，可以扛得住層出不窮的審訊手法的。5：銀行內部預留部分資金以避免一但被竊無法追回後賠償儲戶。

所有資料都要存在資料庫裡，但是資料庫的密碼不可能明文儲存，否則管理資料庫的就可以拿著你的卡號和密碼去取錢，你完全沒辦法。

就象各個網站有帳號和密碼，但是密碼是密文的，資料庫管理員拿不到，否則你的帳號就可以被能檢視資料庫的人任意登陸。就比如果殼網是可以填4位密碼的，因為存在資料庫裡是經過2次加密的。但是銀行卡密碼就不一樣了，只有6位數字，總共才100w次，即使是密文，只要知道加密方法，一眼就知道密碼是什麼了，找個100w的對應表就行了，很容易。知道了密碼和卡號，弄張卡並非難事，因為他還可以拿到你的身份資訊。

銀行的密碼不是透過演算法的安全性來保密的，而是透過保密制度來保密的。也就是說，銀行把密碼在銀行的安全性，寄託在密文不被竊取的前提下，這和通常IT網站所認為的不一樣。

至於為什麼，銀行也是有苦衷的。因為大多數ATM只有數字鍵盤，10個字母，就算到10位長度，也不過100億個組合，對於離線攻擊來說，照樣是小case。而10位長度的密碼，已經超過了很多人（尤其是大爺大媽們）的記憶能力了。

所以銀行在技術上無法做到對抗離線攻擊的時候，就只能用別的辦法了：1：銀行中只有極少數人能直接接觸儲戶密碼（密文），而這些人的身份和操作全部會被記錄在案，就算離職，這些資訊也不會被清除。2：涉及儲存及使用這些資訊的電腦網路物理隔離，操作終端攝像頭全程監控－－別想著抄下來。3：攻擊銀行或者金融機構是屬於犯罪行為，刑罰上不封頂－－最高死刑。4：因為是犯罪行為，所以公安會介入。按照非官方公安的說法，這些高科技犯罪反而好破－－沒幾個能玩高科技犯罪的人，可以扛得住層出不窮的審訊手法的。5：銀行內部預留部分資金以避免一但被竊無法追回後賠償儲戶。

是銀行懶政，懶得升級密碼系統，你銀行可以有更長的密碼位數，設定幾位密碼由客戶自己定！！！銀行的網銀U盾密碼，數字加大小寫字母8位密碼，設定密碼的時候僅小寫字母加數字電腦還提示密碼弱，換一個大寫字母，顯示密碼強！！現在一個無關痛癢的bbs論壇註冊時設定密碼都長達十幾位（大小寫字母、數字、符號混合）！

　1)全部使用數字已經足夠。其實，使用全數字密碼(簡單密碼)與其他複雜組合作為密碼(複雜密碼)的區別，主要是在抗暴力破解方面的優勢。我們會想，現在計算能力如此高的情況下，不夠長的純數字密碼幾乎不起計算機的暴力破解，而包含字母、標點符號的密碼抗暴力破解的能力大大增加。但是，有一點你要相信，在銀行系統、 ATM 、電話銀行等等方面你是無法進行暴力破解的(涉及安全性，原理後面說)。所以，複雜密碼幾乎不被認可。且現在網路銀行，因為使用各種認證方式的配合，你也是無法進行暴力破解的(後面說明)。

　　2)選擇全部數字作密碼是歷史原因決定的。在早期，整個銀行系統計算和儲存效能很有限，高昂的計算機成本導致提供複雜密碼的成本太高。且在國外很多支付情況下對密碼的依賴性不高，很多時候是靠籤、複寫等等方式即可滿足需求。

　　3)越簡單的密碼輸入裝置，越能適配更多的系統和裝置。選擇全部數字作為密碼，可以更好的延伸至電話、手機等等簡單裝置的輸入支援，可以實現電話銀行等功能。並且，使用純數字密碼，如果持卡人發現密碼洩漏，就可在很短的時間內透過電話銀行將其修改。

　　4)選擇全部數字作為銀行密碼，大大降低裝置的輸入裝置成本。設想一個包含字母、符號、數字的全鍵盤成本高，還是簡單的數字鍵盤成本高。特別是在 ATM 等等裝置上，這樣不同的輸入裝置的價格差距更大。

1～5位太少了，很容易破解，設7位或以上有一些老年人又記不住，六位剛剛好。

一，按照數字的排列組合，如果將密碼設定成為6位，那麼，它就有90萬種密碼，這樣可以滿足中國龐大人口的需要。

二，數字記錄習慣為依據，平時人們記錄日期的時候，大部分喜歡使用6位數記憶法，如1987526，這串數字表示1987年5月26日。

三，人對數字的瞬間記憶，大大部分以6位數字為界，超過6位的數字記憶起來就比較困難。

四，就安全性來講，將密碼設定成為6位，那麼，它就有90萬種密碼。如果，設定成5位，則會拉低安全性。6位很難暴力破解，銀行卡密碼錯三次就自動鎖死，若是有人用計算機病毒破解的話，你設定多少位密碼也無濟於事。

八十年代先富起來的。一次去存款也就幾百、幾千，那時還無卡、折，就是一紙存單。密碼用同一個不放心，用多會搞混、記不住。我就用筆記下(自編二次加密)自己憑此可查出原用密碼，別人拿了這記錄本去到死怕也破不了！！！