流言: 【近日有黑客自曝:在星巴克,、麥當勞這些提供免費WiFi的公共場合,,用一臺Win7系統(tǒng)電腦,、一套無線網絡及一個網絡包分析軟件,15分鐘就可以竊取手機上網用戶的個人信息和密碼,。國內某知名安全機構的工程師承認,,這個真可以做到。網銀,、支付寶密碼……你懂的 】
真相: 這是從昨天開始微博上瘋傳的一個帖子,。其實,無論你使用電腦,、iPad,、還是手機,只要通過WiFi上網,,數據都有可能被控制這部WiFi設備的黑客電腦截獲到,,其實也未必一定是Win7系統(tǒng),信息是有可能被竊取的,,當然包括未經加密處理的用戶名和密碼信息,。但是,無論什么系統(tǒng)的電腦,,架設了多么高級的WiFi熱點,,黑客都無法在用戶正確操作下獲取網銀和支付寶密碼,更不要說盜竊其中的錢了,。
手機銀行如何保障安全
用戶可通過手機上的專門客戶端程序,,通過WAP方式與銀行系統(tǒng)建立了連接,并進行賬戶查詢,、轉賬,、繳費付款、消費支付等金融服務,,這種方式被稱為“手機銀行”,。與一般上網方式顯著不同的是,其網址的頭三個字母是WAP,。手機銀行的帳戶信息是經過靜態(tài)加密處理的,,而且與手機綁定,,,假使他人盜取了你的賬戶信息,,但其它手機上也無法操作。經與工行客服核實,,他們稱現在為了方便用戶,,允許非指定手機操作手機銀行賬戶了,但允許操作的資金額度很低,。
最重要的是,,手機銀行還有認證手段,。加密的原理很簡單,其目的是讓非授權用戶即使獲取了數據也無法利用,,而認證則是對數據是否篡改,、接收數據的人是不是授權用戶等方面的審查措施,用來保證數據是真實可靠的,,接收者是被授權的,。從采用的具體技術和算法而言,加密與認證并沒有明顯的區(qū)別,,但從功能角度而言,,兩者非常不同,相互不能取代,,并可通過有效配合而達到很高的安全性,。
你輸入了正確的賬號和密碼,當進行涉及到賬戶資金變動的操作時,,手機銀行會提示你輸入特定的電子口令,,而電子口令卡就是一種有效的認證手段。例如下圖就是張工行的電子口令卡,,它發(fā)來信息C5H8,你就要在相應的輸入框里輸入138141,,而且銀行每次發(fā)來的信息都不會相同,。
工行的電子口令卡
不同的銀行可能會采用不同的認證方法,比如建行就是通過綁定手機發(fā)送手機驗證碼,,但都起到了類似的作用,。
個人網上銀行如何保障安全
個人網上銀行會采用https的加密協(xié)議來保障交易安全,結尾比你常見的http多了個s,。你在電腦上輸入個人網上銀行地址,,當跳轉到賬戶信息輸入頁面時,網址欄就由http變?yōu)閔ttps了,,而且在最后面還多了一只小掛鎖,,這寓示著通過這個頁面輸入并傳送的數據,會被128位的加密算法進行加密,,只有銀行方面才能正確解密,,即使這些加密數據被黑客全部拿到,也毫無用途,。
網銀和支付寶的https頁面和小掛鎖標示,,點擊黃色小掛鎖,就會彈出“網站標識”框,,可查看證書情況,。
而且,用電腦通過https方式訪問個人網上銀行時,,還有認證手段的保護,,操作帳戶資金限額的大小與認證手段的強度相匹配,電子口令卡的認證強度低,,能操作的資金少,,而U盾的認證強度大,能操作的資金就多,。使用https協(xié)議與個人網上銀行進行連接,,這是銀行為了保證安全而采取的強制措施,通過非加密協(xié)議傳送的信息是不會被銀行所接納的,。
用過個人網上銀行的網友都會知道,,使用前必須安裝銀行提供的安全控件,否則帳戶信息欄是灰色的,,根本無法輸入任何信息,。而手機的系統(tǒng)無論是蘋果、安卓,、還是塞班,,統(tǒng)統(tǒng)都不支持這個控件,根本就安裝不了,,賬號自然無法輸入,,被盜取更是毫無可能。
有些高水平玩家會在手機上裝虛擬機,,這倒是可能安裝上銀行的安全控件并成功操作個人網上銀行,,這時手機就已可看作是個簡版電腦了,自然也要跟使用普通電腦一樣,,通過https這種安全協(xié)議與個人網上銀行進行數據交換,。
警惕釣魚網站
不少賬戶被盜的案例其實是因為訪問了釣魚網站。他們偽裝成正規(guī)的銀行頁面或是支付頁面,,騙取你輸入的帳戶名和密碼,而這未必一定需要通過WiFi熱點這種方式來實現,,任何上網的方式都有可能上當,。不過,公共的WiFi確實提供了植入釣魚網站的潛力,,利用ARP欺騙,,可以在用戶瀏覽網站時植入一段HTML代碼,,使其自動跳轉到釣魚網站。從這個角度說,,公共WiFi網絡為用戶提供了一個便利的釣魚環(huán)境,。
避免被釣要注意使用安全。一方面,,需要對別人發(fā)來的網絡地址多留心,,因為這個地址可能非常接近如淘寶、網上銀行的域名地址,,打開的頁面也幾乎和真實的節(jié)目完全一致,,但是實際你進入的是一個偽裝的釣魚網站;另一方面,,盡量選擇具有安全認證功能的瀏覽器,,這些瀏覽器能夠自動提示你打開的頁面是否安全,避免進入釣魚網站,。對于智能手機用戶,,在下載和交易有關的客戶端軟件時盡量選擇官方渠道下載,不要安裝來路不明的客戶端,。
結論: 銀行賬戶是否安全與手機是否是通過免費的WiFi上網,,并沒有必然的聯(lián)系。使用基于WAP客戶端的手機銀行是安全的,,用電腦通過https使用個人網上銀行也是安全的,,但不要用手機上個人網上銀行,現在銀行也還不支持這項業(yè)務,。用電腦上個人網上銀行時,請核實下https和地址欄后面的小掛鎖標志,。
如果各大網站能在用戶驗證部分使用https,,將能更好地保證用戶身份驗證過程的安全,雖然這樣會給網站帶來一筆開銷,。希望在一系列安全事件爆發(fā)之后,,引起相關行業(yè)人士的重視。
P.s. 互聯(lián)網沒有絕對的安全,,這話確實不假……
文章主要針對大家最擔心的網上銀行的安全性來討論,,關于公共WiFi安全性的更多討論,請看果殼問答 在公眾場所蹭網會被黑客暗算嗎,? 里的回答和討論,。
特別鳴謝: snowmark-zhang 曉風殘月 HelloPlanet HX 對本文的幫助。
