還有比數字密碼更保險的東西嗎?為了更安全,我們在不斷復雜化密碼:數字、大小字母、下劃線、八位以上等等。而且,為了更安全,不同的網站要有不同的賬戶和密碼,比如,我的支付寶支付密碼十四位,我的p2p理財網站的密碼16位。我的工商銀行,有網銀密碼,數字移動證書密碼,結果老是記混,從5月中旬因為連續(xù)輸錯多次密碼,那張工行卡一直被凍結,到現(xiàn)在還沒來得及解凍。
但是,如此考驗記憶能力、用戶體驗如此不好的數字密碼,真的是絕對安全么?答案當然是否定的,當攜程被黑之后,人們擔心信用卡信息會泄露。
其實,無論是黑客還是安全專家,都相信,數字密碼即將過時了,取代它的是什么?到那個時候,你的支付寶和網銀會更安全嗎?
黑客如何入侵
先來看看,黑客是如何攻陷網站和用戶賬號的。
斗象科技聯(lián)合創(chuàng)始人兼COO謝忱,作為白帽黑客,深諳黑客圈的秘密,他公司旗下的Freebuf.com是國內最大的安全社區(qū)和新媒體。根據謝忱的介紹,互聯(lián)網攻擊主要分為以下幾種。
第一,以癱瘓目標為目的DDOS攻擊和DNS劫持。
拿煎餅攤舉例。DDOS攻擊就是東頭的煎餅攤攻擊西頭的O2O煎餅攤,你不是可以網上下單么,我訂他200個,不去取煎餅,沖垮你。回到線上就是,A網站到B網站發(fā)起超出他常規(guī)訪問量的這種流量過去,B網站可能平常沒有接受這么大訪問量,所以癱瘓。
DNS劫持,就是路人甲想去西頭的O2O煎餅攤,結果你和他說,這個煎餅攤在東邊。意思是你原本要打開A網站,結果跳到了B網站。上面講到的2種攻擊方式,去年就被各大黑客組織用得很普遍。
而針對黑客的防御方式,有各種驗證碼,比如:
如果是這個驗證碼,那真是足夠安全了。但是這種驗證碼或許只適合數學教授。
因此,考慮到用戶的傻瓜體驗,驗證碼不能這么復雜。常見的是各種數字、字母、漢字密碼,還可能是個加減乘除的算術題等等。
這里有個變化過程。最開始,驗證碼是字母,很快黑客破掉了;后來數字,又被破,再后來數字加字母,增強了識別圖像的破解難度。現(xiàn)在,還發(fā)展到圖形之間的連接,做圖像識別的都知道,有鏈接點,識別難度就會大大增強。另外你有沒有發(fā)現(xiàn)淘寶網站的驗證碼都歪歪扭扭的,也是為了增加辨識的難度。
所以,攻防之間是永遠不停息地對抗博弈,防守也在不斷進步,而黑客也并非大家想象得上天入地無所不能。
第二類,以盜信息為目的攻擊。
黑客想盜取你的帳號,可以通過很多方式把信息串聯(lián)起來,比如說在找工作網站找到就業(yè)信息,在婚戀網站找到家庭信息、情感狀況,再通過購票網站找身份證,最后把這些信息全部拼湊在一起,關聯(lián)起來盜號。
此外,由于很多小伙伴習慣于在不同的網站使用同一賬號和密碼,因此被破解成功后危險性更大。此次攜程被黑,很多用戶會擔心信用卡賬戶會被盜刷。
第三,以入侵為目的的攻擊。
一些匿名的黑客組織,號稱是全美帝甚至是國際級的黑客組織。但是,黑客攻擊,并非大家想象得這么容易。無論是黑一個網站也好,還是黑一個目標人,其實難度都不小。之前號稱有國際組織要黑中國的網站,吹噓得很厲害,其實,這個組織最終入侵成功的網站,都是什么鄉(xiāng)什么縣的地域性小網站,常年無人維護,安全防護措施約等于無,入侵門檻較低。
如何干掉黑客
1,拋棄筑城墻思維,立體防控
2、利用好大數據,黑客可運用各個網站的東西把人的信息關聯(lián)起來,實施定向打擊,防御者也需要用大數據回擊。比如A網站獲得所有攻擊者IP地址,B網站也有這些信息,通過建立共享平臺,共享數據庫,以后這些黑客在攻擊的時候可以匹配出他的歷史和蹤跡,他利用什么攻擊手段,可以給這個IP打上壞人的標簽。
3、新防御手段技術革命。下面這些都是很好的嘗試:
拋棄數字密碼
說了這么多,其實用戶之所以擔心密碼被盜,第一是怕泄露個人隱私,第二怕錢財丟失。由于數字密碼存在泄漏的可能,因此數字密碼并不絕對安全,而未來通過大數據、生物識別等手段,數字密碼將會被逐步取代丟棄。
支付寶早早就在進行嘗試了,根據支付寶目前的技術,就算你的數字密碼被盜了,錢幾乎也不會被取走,這不是科幻,這是科學。
雖然表面上,支付寶登錄的時候,其安全屏障,在用戶前端,只是一串數字密碼,但是背后卻有個神奇的風控大腦。
這個風控大腦的邏輯是“認人,而不只是識別數字密碼”。認人的意思是說:就用黑客盜走了用戶的密碼,但是盜了密碼,還是拿不走錢!因為這把鎖,只認主人,主人開,我就放行,不是主人在開,你就goaway。如果拿不準是不是主人,就會通過再次校驗的方式,來判斷是否是主人。
聽上去很智能吧,其實,支付寶訓練這個風控大腦已經8年多了。具體來說,這個大腦會根據一些維度來做判斷并打分,分數在0-1之間,打分高,說明風險系數比較高。這個風控大腦的打分因素包括:賬戶、設備、位置、行為、關系、偏好等因素,每一個大類里面都會包含很多細的策略,而這樣的策略總計有10000條左右。不過,風控大腦運算這些復雜策略的時間很快,平均為0.15秒,所以用戶基本上是無感知的。
具體的打分模型如下:
比如說:行為維度。每個人都會有自己的習慣,比如走路姿勢和筆跡。支付寶的風控大腦策略就是:每個人觸控手機屏幕的方式不同,而手機上是有很多傳感器的。所以可以通過指壓、接觸面積、重力變化,連續(xù)間隔時間等,可以幫助判斷是否是主人操作。國外實驗室測算,這種技術能讓判斷風險的成功率提升7倍,支付寶大概提升了5倍。
再比如說:關系維度。一個黑客,來偷用戶的賬戶,然后把錢轉到另一個賬戶。如果這個賬戶和你從未有過資金往來,和你的朋友們也沒有過資金往來,CTU就會提高警覺了,如果這個賬戶是曾經有過不良記錄的,或者和黑名單賬戶有過某些交集,CTU很大程度就會攔截,因為它知道,這估計不是主人在操作。
當然了,根據六度人際理論,通過六個人,你就能認識全世界的人,而網路上的人際關系自然也錯綜復雜,這就需要強大的關系數據收集和分析能力。網絡上的人際關系示意圖如下:
圖文是不是看起來有點暈,其實舉例就很容易說清楚了。有個深圳的支付寶用戶,經常購買理財產品,平時用的是ios操作系統(tǒng)。2014年
,該用戶接收了偽基站10086的短信,主動輸入了身份證信息和銀行卡信息,并中手機木馬。
當日深夜,騙子結合上述信息,成功獲取校驗碼后修改登錄密碼,并在廣州某小區(qū)登陸,之后又修改支付密碼。接著,得意洋洋下單一臺iphone5,打算用別人的錢,給自己換手機。
沒想到,風控大腦直接判定交易失敗,并對賬戶進行了限制。第二天,支付寶客服給用戶打電話,確認用戶賬戶是被盜了,并引導其重置密碼。
為什么這個騙子盜取了數字密碼,卻沒偷到錢,是因為支付寶的風控系統(tǒng)經過分析,認為其操作行為可疑,風險評分太高超過了安全線!
首先,登陸的設備不是主人的日常設備,登陸地點不在深圳,而在廣州某小區(qū),風控大腦已經開始警覺。接著,對于修改密碼的行為,風控大腦很困惑,一個經常購買理財產品,經常輸入密碼的人,深更半夜去修改密碼干嘛,一般修改密碼都是密碼忘記了,要找回密碼才會重置嘛。最后,主人平時主要就是理財,極少淘寶,大半夜的,改了密碼就直奔瘋5,這非常違背常理,所以,阻止資金流出。
從上面這個案例可以看出,支付寶風控大腦的打分,會綜合考慮多種因素,而不會根據某一個單項來,因為單項不足以說明問題,比如設備,那主人換一個設備去使用支付寶也是很有可能的。
盡管支付寶的風控大腦如此高科技,為啥支付寶還有被盜發(fā)生?
首先,被盜不代表資金損失,像上面的案例,被盜了,錢還在。
第二,最終產生資金損失,雖然這個概率很低,大概是1/100萬,原因有兩大類:世上總有些很巧合的事情,在行為習慣,偏好,位置等等很多方面,壞人和你都極其吻合,導致CTU沒能發(fā)現(xiàn),風險評分不夠高。
不過,更多的是,CTU發(fā)現(xiàn)了,但分數沒有高到直接判定失敗,而是處于疑惑階段,它輸出了二次校驗的方式,可惜,用戶再次泄露了校驗信息,所以打死別把校驗碼給人。
說到校驗,短信校驗(短信驗證碼)是最常見的,不過,以后這會被更多的校驗方式逐步取代,因為還有更多不易被泄露或者截取,安全性更高的校驗方式。
比如說,系統(tǒng)會問你,以下哪個商品,是你最近購買過的,這個壞人很難知道了。比如當你在新的設備登陸微信時,微信會讓你在一堆頭像中選出微信好友。再比如說,別輸入短信校驗碼了,來刷個臉吧,壞人總不至于把你拉過去做人臉識別吧。
總之,安全分為系統(tǒng)安全、產品安全(也就是前端可見的很多東西,比如密碼,各類驗證等),還有后臺實時監(jiān)控的安全防范體系。未來的趨勢是,逐步把精力放在后臺安全,通過生物識別和大數據的方式來保證安全。而用戶需要做的事情可以最少,甚至有一天,用戶壓根可以不需要記住數字字母密碼,因為這把鎖足夠聰明,它知道開鎖的是不是主人。你本人就是密碼本身了,這是包括螞蟻金服在內互聯(lián)網公司努力的方向。
只有這樣,在新環(huán)境下,才能提高安全性能,同時也是讓用戶體驗做到極簡友好。安全可靠和用戶體驗這對矛盾體,能夠盡可能平衡。
不過,為什么到現(xiàn)在,指紋識別的密碼還沒有普及呢?支付寶人士說,主要是目前支持指紋識別的手機并不是特別多,只有蘋果、三星和華為的某些高端機型才有此功能,而且指紋識別的準確度也需要進一步提高。
現(xiàn)在問題來了,如果以后不用數字密碼了,你也不用操心費力記那一堆數字了,那時候,你還敢不敢使用支付寶和網銀呢,我猜,你敢。
晉城龍鼎 - 晉城網站建設為您解答!