安基網 首頁 電腦 殺毒安全 查看內容

手機的密碼如何設置才安全?微信和支付寶支付時安全嗎?

2019-5-2 11:03| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 最近,訂閱了桌克的密碼學課,課程全面而系統的介紹了密碼學的發展歷史,以及密碼學的加密原理。這里分享一下,是一系列跟手機上的密碼有關的問題。比如微信和支付寶支付時安全嗎?這都是關乎信息和財產安全的,你最好認真了解一下。1手機上的密碼大都很短,只有4-6位。而另一方面,我們在電腦上注冊用 ...

最近,訂閱了桌克的密碼學課,課程全面而系統的介紹了密碼學的發展歷史,以及密碼學的加密原理。這里分享一下,是一系列跟手機上的密碼有關的問題。比如微信和支付寶支付時安全嗎?

這都是關乎信息和財產安全的,你最好認真了解一下。

1

手機上的密碼大都很短,只有4-6位。而另一方面,我們在電腦上注冊用戶時,經常在設置密碼的環節看到提示說“請設置密碼長度超過8位”,甚至有時候讓你包含數字、字母和字符。

兩個信息擺在一起看,人們自然就會擔心自己手機密碼不安全。因為很短,只有4位或6位,進而也會擔心起銀行卡密碼,因為它也很短。

其實,安全性不是這樣評估的。

具體來說,銀行有一套自己的加密系統。

比如說,我的網銀密碼是123456,這串密碼在傳送給銀行做核對的時候,信息并不是以123456這樣的原文到達的,而是先經過安裝在手機或者電腦里的網銀軟件,做一次RSA加密。加密后,就是標準格式的一長串字符了。

銀行那邊收到密文后,也是通過一些算法對密文做核對,然后判斷密碼是不是正確。

整個過程,根本就沒有原文出現。

對于只截獲了密文的黑客來說,你的網銀支付或者銀行卡支付,到底是6位密碼還是12位密碼,是沒關系的,它們沒有安全性的強弱之分。

可是有人會問:那為什么規定這些密碼一定是6位呢?

其實這更多是出于使用方便的角度考慮的。

有一系列科學研究結論顯示,人在無壓力的時候,輕松記住的一串數字的長度,大約就是5-7位,所以就取這中間值6位,當作密碼的長度。

那你說,畢竟只有6位,可能性只有100萬種,遠遠不及這門課之前說的那些幾萬億億種的可能性安全,所以暴力破解不是一下就能把它攻破呢?

是的。

但銀行早就想到了這一點,所以又增加了一些物理上的限制。比如說,連續5次密碼輸入錯誤,銀行卡就會被鎖住,只能用主人的身份證去柜臺解鎖。

所以你看,雖然可能性少得可憐,但暴力破解是不可能的。


現在我們用的一切帶有支付功能的軟件,比如支付寶、微信,它在支付環節也都是做加密的,而且移動端一般用的都是我們講的RSA加密,安全性非常高。

即便在不安全的、免費的Wi-Fi環境下,哪怕有黑客獲取了我們支付密碼的這段信息,他也沒辦法。因為這段信息,是被支付軟件自帶的RSA加密技術保護著的,想破解依然是難上加難。

當然,如果真的用手機支付的時候,最好還是在有密碼的Wi-Fi下進行,或者切換到4G、5G的電信網里再支付更安全。


2

在手機上輸入數字或者圖形密碼時,理論上是安全的。原因我們剛才說了,和解鎖相關的動作、跟密碼有關的數據,全都被RSA加密了。

但是,漏洞還是出在人的操作上。要確保足夠安全,你得保證輸入密碼時沒被任何人看到。而這一點不是每個人都能做到的,畢竟這樣的操作太頻繁了。

像9個點位的圖形解鎖,雖然能提供40萬種的圖案可能性,但有經驗的賊離很遠就能通過你的動作趨勢,判斷出你劃屏的動作。

甚至在2015年,還有黑客做出了一套劃屏動作識別系統。可以在隔2.5米,角度很偏的情況下,5次之內猜對圖形解鎖的圖案。

就算黑客沒能掌握這些識別技能,他們只是試一試那些劃屏常用的動作,像口字型、Z字型、C字型等,多試一試,也至少有1/3的手機的圖形解鎖是可以被破解的。

同理,數字按鍵解鎖也一樣存在這個問題。要不就是容易被人看到密碼,要不就是設置得太簡單,容易被人試出來。

所以一切這些,都屬于人們操作中出現的漏洞。


3

怎么解決呢?

可以改用指紋、聲紋、面部識別來解鎖或者支付。

現在的手機中,用來比對生物特征的這部分數據,是單獨存儲在一個區域的。

首先,這個區域是不能被輕易讀到的;其次,存儲到里面以后,也是加密的;再次,存儲的加密后的這些生物特征,并不是完整的特征數據。

以指紋識別來說,那個特殊存儲塊里存儲的指紋信息,不是全部指紋的樣子,而只是全部指紋信息的一部分,比如說10%。

那到底是存了這跟手指指紋的哪10%呢?它其實是隨機的。

這10%的特征,只用來核對跟當前按過來的指紋是否吻合。所以即便有超級牛的黑客,把這部分生物特征的數據想辦法讀到了,也解密了,也依然不能還原一個人的指紋。

聲紋和面部識別,也都是基于同一種原理。這樣,安全性就更高了。


4

但對于手機密碼,還有一個矛盾的地方:

既然4-6位都安全,為什么網站注冊時卻讓我們設置更長的密碼,有的時候還要求有數字、字母,甚至是大小寫的組合呢?

因為并不是所有用戶名、密碼的信息,都像手機支付密碼那樣用RSA加密。也有不少網站為了節省成本,使用的是簡單的加密法。

黑客拿到了這些包含用戶名和密碼的信息后,會用設計得比較好的字典暴力破解。也就是憑借計算機的算力,嘗試每種可能性,碰巧破解了就是運氣。

這個動作在黑客口中,叫“撞庫”。

字典,這是黑客必備的,它里面按優先級記錄著可能的密碼組合。

它的編寫質量,關乎撞庫的成功率,所以高級黑客的字典都是精心設計過的。凡是高頻密碼,都會首先撞。

網上有一些從黑客歷年破解的結果中,統計出來的最常被破解的密碼。它們最大的特征就是簡單的數字組合,或者是鍵盤上相鄰的字母挨著敲出來的。

這些密碼,也一定會在暴力破解的前幾秒里,最先被破解出來。

可能你這會兒要問:數字加大小寫的字母,再加一些特殊符號,會不會更安全呢?

答案可能會出乎你意料,那就是——不會。

因為對密碼安全起最大作用的,其實是密碼的長度。


比如說,一個16位長度,只由數字和字母組成的密碼,安全性就遠比一個只有8位長度,由字母、數字、符號組成的密碼更高。

有些人用的符號就是常用的代替法,比如說用@代替a,用5代替s,用!代替i,他們以為用這種方式,就會安全很多。

但其實在黑客的字典里,這些常用符號有規律的替換思路,早就是典型案例,反而會被首先破解。

在網站使用的加密方法比較弱的時候,保存用戶ID和密碼的文件一旦被截獲,這些密文遲早會被破譯,就看黑客愿意花多少時間、多少成本來破解了。

舉一個實例:

在2013年的時候,科技網站Ars Technica邀請了3名黑客,當場破解了已經做了哈希算法(hash)加密的用戶數據。這些數據一共包含1.65萬組用戶名和密碼。網站的副主編也會破解,一起參與挑戰。

結果副主編破解了其中47%的密碼。另外3名黑客里硬件算力最差、字典最小的那個,中間還接受了一次采訪,在1個小時里破解了62%用戶的密碼。

當時演示中水準最好的那個,用的工具主要是一塊3000塊錢的顯卡,1小時破解了其中82%的密碼。如果時間如果給得足夠充足,第三位黑客在20小時里,破解了其中90%的密碼。

從中你就能總結出,有多少人在設置密碼時是缺少高級技巧的。


6

那什么是高級技巧呢?我們就需要關注那剩下10%沒有被破解的密碼是什么樣的。這些才是在網站加密強度不高時,最扛破解,最安全的。

結果就發現,它們有一個共有特征,那就是——長。這也提醒了我們,最好把密碼改成網站允許的最大長度。

在這個例子中,黑客也不是攻陷了加密法,而是充分利用了人們設置密碼時的松懈。

按說密碼應該足夠長、足夠無規律,但那會讓人記不住。

所以,絕大部分密碼都會和生日、電話、門牌號、姓名、年份掛鉤。黑客編制字典去撞庫時,也就先用這些規律去試,就會成功一大片。

而且人們的松懈還不止于此,他在淘寶上用的那一套用戶名和密碼,很可能也用作微博、京東。一個人常常只有3-4套用戶名和密碼,簡單拼湊一下,就把它用在十多個App或網頁里。因為這樣好記嘛。

但一旦其中一個失守,黑客就會把可能的組合在各個網站都試試的,所以你在其他網站的賬戶也難以幸免。

7

說到底,這還是我們的操作上的漏洞,給黑客大大減少了破解工作量。 但現實情況是,我們每個人都有很多的網站和App要登陸。

雖然最穩妥的方式,就是每一個都用獨立的用戶名和密碼,而且它們不但長,還都毫無規則,此外最好每半年全部更新一次。這就極為安全了。

但這要求太高,怎么辦?

其實有兩種方法。

第一種,是可以利用工具。

這種工具在網上可以下載,就是一些密碼管理類的軟件。軟件可以保存所有密碼,而且軟件本身加密等級很高,也能按個人需求自動生成新密碼。這樣定期統一更換高質量密碼的需求,就不難解決了。

不過我想,即便有這種軟件,也依然是極少數人愿意使用。因為這就相當于讓你培養出一個全新的習慣。

但是,我們還有第二種折中的方案——你可以保持當前的密碼和用戶名不大變,把它們作為新密碼的主體部分,然后加一些前綴和后綴。

具體做法是這樣做,比如京東在你腦中是個什么印象呢?比如說“快”,那就在你從前的京東用戶名和密碼前面,加上“快”的拼音。長度增加了,也是京東獨有的,而且還不容易忘。

其他軟件也可以這么操作。這樣多套完全不同的用戶名和密碼,就修改出來了。

總結一下,這節課我們說了手機中的各種密碼。

原則還是不變,加密法是安全可靠的,而操作漏洞會讓密碼失守。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6685537763585950212/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人
1

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧