|
網(wǎng)絡(luò)時(shí)代,,密碼已經(jīng)成為我們生活中的一部分,。網(wǎng)上購(gòu)物、電子郵箱,、聊天社交,、網(wǎng)銀轉(zhuǎn)賬……這么多的密碼,我們一次次的輸入,、登錄,,然后開(kāi)始享受便捷的服務(wù)。然而有一天,,你發(fā)現(xiàn)網(wǎng)銀或第三方支付賬戶上資金被轉(zhuǎn)走了……原因簡(jiǎn)單而粗暴——密碼被盜了,。所以,不時(shí)會(huì)有人語(yǔ)重心長(zhǎng)的教導(dǎo)我們,,密碼要復(fù)雜些再?gòu)?fù)雜些,,復(fù)雜的自己都不認(rèn)識(shí)了;要長(zhǎng)一點(diǎn)再長(zhǎng)一點(diǎn),,長(zhǎng)的就如一首詩(shī),。然而,,密碼被盜的情況依然嚴(yán)重。為了盜取密碼,,特別是那些涉及資產(chǎn)的高價(jià)值密碼,黑客們會(huì)不擇手段,。下面,,我們就來(lái)看看黑客們常用的幾種密碼截取手段: (1)鍵盤(pán)竊聽(tīng) 這個(gè)比較好理解,就是在鍵盤(pán)使用者不知情的情況下,,通過(guò)隱蔽的方式記錄下鍵盤(pán)的每一次按鍵信息,,并將這些按鍵信息發(fā)送到黑客的電腦或手機(jī),黑客可通過(guò)這些信息獲取密碼,。進(jìn)行鍵盤(pán)竊聽(tīng)可通過(guò)各種軟硬件手段實(shí)現(xiàn),,例如在用戶設(shè)備上植入木馬程序,或者是偽裝成U盤(pán),、插頭,、充電器等你想得到或想不到的各類(lèi)物體的鍵盤(pán)記錄器。 (2)屏幕記錄 圖注:安全鍵盤(pán)也有軟肋 現(xiàn)在,,網(wǎng)銀和很多軟件的登錄界面都支持軟鍵盤(pán)輸入,。軟鍵盤(pán)又稱為安全鍵盤(pán)或動(dòng)態(tài)鍵盤(pán)。因?yàn)檐涙I盤(pán)的數(shù)字和字母都是隨即生成排列的,,又通過(guò)鼠標(biāo)點(diǎn)擊輸入,,所以很難被木馬記錄到。然而這難不倒黑客,,他們很快開(kāi)始使用屏幕記錄軟件,,對(duì)用戶屏幕進(jìn)行截屏,通過(guò)截圖記錄鼠標(biāo)點(diǎn)擊的位置,,以此破解用戶密碼,。 (3)嗅探器 在局域網(wǎng)上,黑客要想迅速獲得大量的賬號(hào)(包括用戶名和密碼),,最有效的手段之一是使用嗅探器程序,,使用這種工具,黑客可以監(jiān)視網(wǎng)絡(luò)的狀態(tài),、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以未經(jīng)加密保護(hù)的形式在網(wǎng)絡(luò)上傳輸時(shí),嗅探器就如嗅到了血腥味的鯊魚(yú),,開(kāi)始貪婪的吞噬網(wǎng)上傳送的數(shù)據(jù)包,。 以上是幾種比較常見(jiàn)和容易理解的密碼截取方式,除此以外還有如鍵盤(pán)鉤子,、反匯編,、 逆向分析等五花八門(mén)且在不斷推陳出新的手段,。但萬(wàn)變不離其宗,黑客基本都是選擇在密碼輸入或輸入完畢后的信息傳送階段下手,。我們每一次點(diǎn)擊,、每一次輸入,都會(huì)產(chǎn)生一個(gè)記錄,,所以在記錄產(chǎn)生的第一時(shí)間就應(yīng)對(duì)其進(jìn)行安全存儲(chǔ),。而在密碼輸入完畢點(diǎn)擊提交,也就是從客戶端傳輸?shù)椒?wù)器端的全過(guò)程都需要進(jìn)行加密,。做好以上兩點(diǎn),,黑客就無(wú)從下手。目前,,部分對(duì)密碼安全要求極高的銀行,、支付機(jī)構(gòu),如中國(guó)銀行,、中彩寶等,,通過(guò)CFCA密碼安全控件(亦稱SIDS安全輸入開(kāi)發(fā)套件)實(shí)現(xiàn)密碼輸入安全存儲(chǔ)和加密傳輸。那么,,密碼安全控件是如何保護(hù)密碼安全的呢,? 圖注:使用安全控件保護(hù)各類(lèi)設(shè)備、平臺(tái)的密碼輸入,、傳輸 CFCA密碼安全控件由為國(guó)內(nèi)97%的銀行提供電子認(rèn)證和信息安全服務(wù)的中國(guó)金融認(rèn)證中心開(kāi)發(fā),,其在研發(fā)初期就確立了較高的安全標(biāo)準(zhǔn),以滿足銀行嚴(yán)苛的安全需求,。CFCA密碼控件在客戶端密碼數(shù)據(jù)產(chǎn)生的第一時(shí)間即將其獲取,,并使用對(duì)稱加密算法進(jìn)行存儲(chǔ)。當(dāng)密碼數(shù)據(jù)進(jìn)行傳輸時(shí),,安全控件再使用非對(duì)稱加密算法對(duì)數(shù)據(jù)進(jìn)行加密傳輸?shù)椒?wù)器,,保證只有服務(wù)器私鑰才能解密數(shù)據(jù),確保數(shù)據(jù)安全抵達(dá)服務(wù)器,。通俗點(diǎn)講,,當(dāng)我們輸入密碼時(shí),安全控件可以趕在所有惡意程序下手前就將密碼信息收入囊中,,并用一把密鑰進(jìn)行加密,。此時(shí),惡意程序仍可竊聽(tīng)鍵盤(pán)記錄,,但得到的只是一堆與密碼無(wú)關(guān)的信息,,而密碼信息的蹤跡只有安全控件知道,并處在其保護(hù)之下。其后,,密碼要從客戶端發(fā)往服務(wù)器端,,這一路也是險(xiǎn)象叢生,各種嗅探器,、中間人攻擊聞風(fēng)而動(dòng),。但此時(shí)安全控件已對(duì)密碼進(jìn)行加密,唯有服務(wù)器端的一把專有私鑰才能解密,。黑客就算辛辛苦苦截取到了數(shù)據(jù)包,,卻因?yàn)槭掷餂](méi)有私鑰而無(wú)法獲得密碼。 在過(guò)去,,密碼被盜可能只會(huì)帶來(lái)幾個(gè)q幣的損失,。但現(xiàn)今,,隨著互聯(lián)網(wǎng)金融的極速發(fā)展,,支付轉(zhuǎn)賬的金額越來(lái)越大,各種密碼截取手段隨之層出不窮,,密碼保護(hù)工作不僅越發(fā)重要也越發(fā)艱巨,。在提示用戶注意密碼使用安全的同時(shí),相關(guān)網(wǎng)站,、平臺(tái),、企業(yè)應(yīng)采用如安全控件、數(shù)據(jù)庫(kù)防火墻等產(chǎn)品,,并不斷完善賬戶,、密碼等數(shù)據(jù)的安全策略,強(qiáng)化客戶端與服務(wù)器端的密碼存儲(chǔ),、傳輸及管理,,有效遏制密碼截取行為,從根本上保護(hù)用戶的密碼安全,。 后記——安全控件與HTTPS 有一定信息安全知識(shí)基礎(chǔ)的用戶可能知道,,Https網(wǎng)絡(luò)協(xié)議也可以實(shí)現(xiàn)信息的安全加密。目前很多互聯(lián)網(wǎng)金融平臺(tái)通過(guò)安裝SSL證書(shū)(服務(wù)器證書(shū)),,在登錄頁(yè)面實(shí)現(xiàn)Https加密,,用以保護(hù)用戶在頁(yè)面輸入的賬戶和密碼。那么,,這是否說(shuō)明Https可以實(shí)現(xiàn)與安全控件類(lèi)似,、甚至是相同的密碼保護(hù)作用呢?非也,,兩者存在以下差異: 首先,,如前文所述,安全控件第一時(shí)間即在客戶端,,也就是用戶的電腦,、手機(jī)等設(shè)備上將密碼加密,,防止木馬截取。而HTTPS僅能在客戶端向服務(wù)器端傳輸?shù)倪@一階段進(jìn)行加密,,無(wú)法應(yīng)對(duì)客戶端木馬程序?qū)γ艽a的截取,。 其次,HTTPS作為一種網(wǎng)絡(luò)加密協(xié)議,,雖然安全性比較高,,但作為一種通用型協(xié)議也并非無(wú)懈可擊,2014年爆出的“心臟出血”漏洞就體現(xiàn)了其相對(duì)脆弱的一面,。而安全控件使用獨(dú)一無(wú)二的專有私鑰進(jìn)行加密傳輸,,黑客無(wú)法獲取私鑰,解密無(wú)從談起,,安全控件的加密傳輸安全性比HTTPS更高,。當(dāng)然,并非所有信息都需要通過(guò)安全控件進(jìn)行加密傳輸,,所以將HTTPS與安全控件結(jié)合使用是一個(gè)更為合理的選擇,。 |
|
|
