论文部分内容阅读
流言:有黑客自曝,在星巴克、麦当劳这些提供免费Wi-Fi的公共场合,用一台Windows 7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码。国内某知名安全机构的工程师承认,这个真可以做到。网银、支付宝密码……你懂的……
真相:这是微博上曾疯传的一个帖子。其实,无论你使用电脑、iPad还是手机,只要通过Wi-Fi上网,数据都有可能被控制这部Wi-Fi设备的黑客电脑截获,其实也未必一定是Windows 7系统,信息是有可能被窃取的,当然包括未经加密处理的用户名和密码信息。但是,无论什么系统的电脑,架设了多么高级的Wi-Fi热点,黑客一般不能在用户正确操作下获取网银和支付宝密码,更不要说盗窃其中的钱了。
手机银行如何保障安全
用户可通过手机上的专门客户端程序,通过WAP方式与银行系统建立连接,并进行账户查询、转账、缴费付款、消费支付等金融服务,这种方式被称为“手机银行”。与一般上网方式显著不同的是,其网址的头三个字母是WAP。手机银行的账户信息是经过静态加密处理的,而且与手机绑定,假使他人盗取了你的账户信息,其他手机上也无法操作。(不过,经与工行客服核实,他们称现在为了方便用户,允许非指定手机操作手机银行账户了,但允许操作的资金额度很低。)
最重要的是,手机银行还有认证手段。加密的原理很简单,其目的是让非授权用户即使获取了数据也无法利用,而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施,用来保证数据的真实可靠,接收者是被授权的。从采用的具体技术和算法而言,加密与认证并没有明显的区别,但从功能角度而言,两者非常不同,相互不能取代,并可通过有效配合而达到很高的安全性。
你输入了正确的账号和密码,当进行涉及到账户资金变动的操作时,手机银行会提示你输入特定的电子口令,而电子口令卡就是一种有效的认证手段。例如图1就是张模拟的工行电子口令卡,它发来信息C5H8,你就要在相应的输入框里输入138141,而且银行每次发来的信息都不会相同。
不同的银行可能会采用不同的认证方法,比如建行就是通过绑定手机发送手机验证码,但都起到了类似的作用。
个人网上银行如何保障安全
个人网上银行会采用https的加密协议来保障交易安全,结尾比你常见的http多了个s。你在电脑上输入个人网上银行地址,当跳转到账户信息输入页面时,网址栏就由http变为https了,而且在最后面还多了一只小挂锁(图2、图3),这寓示着通过这个页面输入并传送的数据,会被128位的加密算法进行加密,只有银行方面才能正确解密,即使这些加密数据被黑客拿到,也无用途。
而且,用电脑通过https方式访问个人网上银行时,还有认证手段的保护,操作账户资金限额的大小与认证手段的强度相匹配。电子口令卡的认证强度低,能操作的资金少,而U盾的认证强度大,能操作的资金就多。使用https协议与个人网上银行进行连接,这是银行为了保证安全而采取的强制措施,通过非加密协议传送的信息是不会被银行所接纳的。
用过个人网上银行的网友都会知道,使用前必须安装银行提供的安全控件,否则账户信息栏是灰色的,根本无法输入任何信息。而手机的系统无论是苹果、安卓还是塞班,统统都不支持这个控件,根本就安装不了,账号也就无法输入,被盗取的可能性大大减小。
有些高水平玩家会在手机上装虚拟机,这倒是可能安装上银行的安全控件并成功操作个人网上银行,这时手机就可看作是个简版电脑了,自然也要跟使用普通电脑一样,通过https这种安全协议与个人网上银行进行数据交换。
警惕钓鱼网站
不少账户被盗的案例其实是因为访问了钓鱼网站。它们伪装成正规的银行页面或是支付页面,骗取你输入账户名和密码,而这未必一定需要通过Wi-Fi热点这种方式来实现,任何上网的方式都有可能上当。不过,公共的Wi-Fi确实提供了植入钓鱼网站的潜力,利用ARP欺骗,可以在用户浏览网站时植入一段HTML代码,使其自动跳转到钓鱼网站。从这个角度说,公共Wi-Fi网络为黑客提供了一个便利的钓鱼环境。
避免被钓要注意使用安全。一方面,需要对别人发来的网络地址多留心,因为这个地址可能非常接近如淘宝、网上银行的域名地址,打开的页面也几乎和真实的页面完全一致,但是实际你进入的是一个伪装的钓鱼网站;另一方面,尽量选择具有安全认证功能的浏览器,这些浏览器能够自动提示你打开的页面是否安全,避免进入钓鱼网站。对于智能手机用户,在下载和交易有关的客户端软件时尽量选择官方渠道下载,不要安装来路不明的客户端。
结论
银行账户是否安全与手机是否是通过免费的Wi-Fi上网并没有必然的联系。使用基于WAP客户端的手机银行是安全的,用电脑通过https使用个人网上银行也是安全的,但不要用手机上个人网上银行,现在银行也还不支持这项业务。用电脑上个人网上银行时,请核实下https和地址栏后面的小挂锁标志,谨防钓鱼网站。
P.S. 当然,互联网没有绝对的安全,这话确实不假……
特别鸣谢:snowmark-zhang、晓风残月、HelloPlanet HX对本文的帮助。
小编有话说
本文肯定不可能涉及到公共Wi-Fi环境中安全问题的方方面面,仅供大家参考。另外,如网友dikcen所言,“正确操作”可以增强公共Wi-Fi环境下的上网安全,但是难就难在“正确操作”上,这涉及到许多细节,需要很多前提知识和判断,不是那么容易就做到。更多的安全讨论,可以浏览一下http://www.guokr.com/question/99127/,这里面还有网友提供的Wi-Fi上网流程图(图4),分析了Wi-Fi最易被攻击的节点,也值得一看。
真相:这是微博上曾疯传的一个帖子。其实,无论你使用电脑、iPad还是手机,只要通过Wi-Fi上网,数据都有可能被控制这部Wi-Fi设备的黑客电脑截获,其实也未必一定是Windows 7系统,信息是有可能被窃取的,当然包括未经加密处理的用户名和密码信息。但是,无论什么系统的电脑,架设了多么高级的Wi-Fi热点,黑客一般不能在用户正确操作下获取网银和支付宝密码,更不要说盗窃其中的钱了。
手机银行如何保障安全
用户可通过手机上的专门客户端程序,通过WAP方式与银行系统建立连接,并进行账户查询、转账、缴费付款、消费支付等金融服务,这种方式被称为“手机银行”。与一般上网方式显著不同的是,其网址的头三个字母是WAP。手机银行的账户信息是经过静态加密处理的,而且与手机绑定,假使他人盗取了你的账户信息,其他手机上也无法操作。(不过,经与工行客服核实,他们称现在为了方便用户,允许非指定手机操作手机银行账户了,但允许操作的资金额度很低。)
最重要的是,手机银行还有认证手段。加密的原理很简单,其目的是让非授权用户即使获取了数据也无法利用,而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施,用来保证数据的真实可靠,接收者是被授权的。从采用的具体技术和算法而言,加密与认证并没有明显的区别,但从功能角度而言,两者非常不同,相互不能取代,并可通过有效配合而达到很高的安全性。
你输入了正确的账号和密码,当进行涉及到账户资金变动的操作时,手机银行会提示你输入特定的电子口令,而电子口令卡就是一种有效的认证手段。例如图1就是张模拟的工行电子口令卡,它发来信息C5H8,你就要在相应的输入框里输入138141,而且银行每次发来的信息都不会相同。
不同的银行可能会采用不同的认证方法,比如建行就是通过绑定手机发送手机验证码,但都起到了类似的作用。
个人网上银行如何保障安全
个人网上银行会采用https的加密协议来保障交易安全,结尾比你常见的http多了个s。你在电脑上输入个人网上银行地址,当跳转到账户信息输入页面时,网址栏就由http变为https了,而且在最后面还多了一只小挂锁(图2、图3),这寓示着通过这个页面输入并传送的数据,会被128位的加密算法进行加密,只有银行方面才能正确解密,即使这些加密数据被黑客拿到,也无用途。
而且,用电脑通过https方式访问个人网上银行时,还有认证手段的保护,操作账户资金限额的大小与认证手段的强度相匹配。电子口令卡的认证强度低,能操作的资金少,而U盾的认证强度大,能操作的资金就多。使用https协议与个人网上银行进行连接,这是银行为了保证安全而采取的强制措施,通过非加密协议传送的信息是不会被银行所接纳的。
用过个人网上银行的网友都会知道,使用前必须安装银行提供的安全控件,否则账户信息栏是灰色的,根本无法输入任何信息。而手机的系统无论是苹果、安卓还是塞班,统统都不支持这个控件,根本就安装不了,账号也就无法输入,被盗取的可能性大大减小。
有些高水平玩家会在手机上装虚拟机,这倒是可能安装上银行的安全控件并成功操作个人网上银行,这时手机就可看作是个简版电脑了,自然也要跟使用普通电脑一样,通过https这种安全协议与个人网上银行进行数据交换。
警惕钓鱼网站
不少账户被盗的案例其实是因为访问了钓鱼网站。它们伪装成正规的银行页面或是支付页面,骗取你输入账户名和密码,而这未必一定需要通过Wi-Fi热点这种方式来实现,任何上网的方式都有可能上当。不过,公共的Wi-Fi确实提供了植入钓鱼网站的潜力,利用ARP欺骗,可以在用户浏览网站时植入一段HTML代码,使其自动跳转到钓鱼网站。从这个角度说,公共Wi-Fi网络为黑客提供了一个便利的钓鱼环境。
避免被钓要注意使用安全。一方面,需要对别人发来的网络地址多留心,因为这个地址可能非常接近如淘宝、网上银行的域名地址,打开的页面也几乎和真实的页面完全一致,但是实际你进入的是一个伪装的钓鱼网站;另一方面,尽量选择具有安全认证功能的浏览器,这些浏览器能够自动提示你打开的页面是否安全,避免进入钓鱼网站。对于智能手机用户,在下载和交易有关的客户端软件时尽量选择官方渠道下载,不要安装来路不明的客户端。
结论
银行账户是否安全与手机是否是通过免费的Wi-Fi上网并没有必然的联系。使用基于WAP客户端的手机银行是安全的,用电脑通过https使用个人网上银行也是安全的,但不要用手机上个人网上银行,现在银行也还不支持这项业务。用电脑上个人网上银行时,请核实下https和地址栏后面的小挂锁标志,谨防钓鱼网站。
P.S. 当然,互联网没有绝对的安全,这话确实不假……
特别鸣谢:snowmark-zhang、晓风残月、HelloPlanet HX对本文的帮助。
小编有话说
本文肯定不可能涉及到公共Wi-Fi环境中安全问题的方方面面,仅供大家参考。另外,如网友dikcen所言,“正确操作”可以增强公共Wi-Fi环境下的上网安全,但是难就难在“正确操作”上,这涉及到许多细节,需要很多前提知识和判断,不是那么容易就做到。更多的安全讨论,可以浏览一下http://www.guokr.com/question/99127/,这里面还有网友提供的Wi-Fi上网流程图(图4),分析了Wi-Fi最易被攻击的节点,也值得一看。