怎么着是数额分析做不了的,用公家WiFi上网会损
分类:科技

好吧,你是那99%的人之一,但你还要考虑到而今黑客软件的速度。John the Ripper是一款免费的黑客软件,每秒钟能测试数百万密码。还有一款商业软件本来是用在刑侦领域里(在查封的电脑中寻找儿童色情或者恐怖分子的信息),号称每秒能测试28亿密码。

警惕钓鱼网站

不少账户被盗的案例其实是因为访问了钓鱼网站。他们伪装成正规的银行页面或是支付页面,骗取你输入的帐户名和密码,而这未必一定需要通过WiFi热点这种方式来实现,任何上网的方式都有可能上当。不过,公共的WiFi确实提供了植入钓鱼网站的潜力,利用ARP欺骗,可以在用户浏览网站时植入一段HTML代码,使其自动跳转到钓鱼网站。从这个角度说,公共WiFi网络为用户提供了一个便利的钓鱼环境。

避免被钓要注意使用安全。一方面,需要对别人发来的网络地址多留心,因为这个地址可能非常接近如淘宝、网上银行的域名地址,打开的页面也几乎和真实的页面完全一致,但是实际你进入的是一个伪装的钓鱼网站;另一方面,尽量选择具有安全认证功能的浏览器,这些浏览器能够自动提示你打开的页面是否安全,避免进入钓鱼网站。对于智能手机用户,在下载和交易有关的客户端软件时尽量选择官方渠道下载,不要安装来路不明的客户端。

结论: 银行账户是否安全与手机是否是通过免费的WiFi上网,并没有必然的联系。使用基于WAP客户端的手机银行是安全的,用电脑通过https使用个人网上银行也是安全的,但不要用手机上个人网上银行,现在绝大部分银行也还不支持这项业务。用电脑上个人网上银行时,请核实下https和地址栏后面的小挂锁标志。

如果各大网站能在用户验证部分使用https,将能更好地保证用户身份验证过程的安全,虽然这样会给网站带来一笔开销。希望在一系列安全事件爆发之后,引起相关行业人士的重视。

P.s. 互联网没有绝对的安全,这话确实不假……

 

文章主要针对大家最担心的网上银行的安全性来讨论,关于公共WiFi安全性的更多讨论,请看果壳问答 在公众场所蹭网会被黑客暗算吗? 里的回答和讨论。

2013年12月13日update:本文原文“用电脑通过https使用个人网上银行也是安全的,但不要用手机上个人网上银行,现在银行也还不支持这项业务。”经由网友@hqabc_ 指出,与原作者核对后,修正为“现在绝大部分银行也还不支持这项业务。”

 

特别鸣谢: snowmark-zhang 晓风残月 HelloPlanet HX 对本文的帮助。

这个故事反映出了数据分析的长处和局限。目前这一历史时期最大的创新就在于,我们的生活现在由收集数据的计算机调控着。在这个时代,头脑无法理解的复杂情况,数据可以帮我们解读其中的含义。数据可以弥补我们对直觉的过分自信,数据可以减轻欲望对知觉的扭曲程度。

密码面对的三种威胁

在现实中密码会受到来自以下三个方面的威胁:日常、群体和定向。

日常威胁”指的是你认识的人。爱管闲事的同事或者亲人可能想要登录你的账号。他们会通过自己对你的了解来猜测你的密码(而不是靠暴力破解软件)。日常的打探者也许会知道你的高中球队是野猫队(Wildcats)然后尝试这个密码,不过wildCatz1很可能足以打败他。

群体威胁”就像垃圾邮件一样,不针对个人。职业身份窃贼并不是在专门针对你的账号搞破解,他对你的个人情况一无所知,他的目的是汇集一套破解过的账号密码清单,通常是拿去再卖钱。密码窃贼则使用破解工具,会先从安全防护措施较低的网站下手——通常是那些允许你猜很多次的网站。这也许是没有什么经济价值的网站,比如游戏网站。等软件猜对了之后,它再用同样的密码及其变体去猜你的更加安全的账号,比如银行。

“定向威胁”意味着使用软件的私家侦探或警探。假如一个训练有素的人想黑进你的账号,假如金钱、时间(甚至法律)都站在他那边,那他很可能会成功。唯一的反制手段就是使用随机密码,长到足以保证其搜索时间抵得上你的预期寿命,甚至更久。

不要觉得你不会成为这种目标,哪怕是小企业的竞争对手也可能愿意花费资源去偷一台笔记本电脑。离婚案件里身价颇高的另一半也可能这样做。黑客可能会讨厌某个人的企业或者政治立场。推特的全站,就曾经陷落过,注意不是某个用户而是全站,原因只是一位管理员傻乎乎地选择了happiness作为密码。2009年一位黑客在字典攻击中发现了这个密码,把它贴在了Digital Gangster上面,结果是巴拉克•奥巴马,布兰妮•斯皮尔斯,脸书和福克斯新闻等等大账户的推特都被盗用了。

流言: 【近日有黑客自曝:在星巴克、麦当劳这些提供免费WiFi的公共场合,用一台Win7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码。国内某知名安全机构的工程师承认,这个真可以做到。网银、支付宝密码……你懂的 】

计算机数据分析擅长的是测量社会交往的“量”而非“质”。网络科学家可以测量出你在76%的时间里与6名同事的社交互动情况,但是他们不可能捕捉到你心底对于那些一年才见2次的儿时玩伴的感情,更不必说但丁对于仅有两面之缘的贝阿特丽斯的感情了。因此,在社交关系的决策中,不要愚蠢到放弃头脑中那台充满魔力的机器,而去相信你办工作上的那台机器。

一个强密码

我使用的是“一个强密码”的原则。考虑到密码在我们的生活中的重要性,记住一个随机字符串还是很值得的。你能记住你的电话号码,为什么不再记一个密码?

一旦你找到了你的强密码,“拼你的老命保护它,”用安全专家尼克•贝里(Nick Berry)的话说。尽一切力量让你的电脑远离恶意软件,只在值得信任和重要的网站用这个密码。至于游戏网站和其他不重要的网站,我会用和这个密码完全不同的一个简单密码。

偷走密码的办法实在太多,这有理由让我们在不同的网站使用不同的密码。一种定制方案是,取网站名字的最后一个字母,然后把这个字母放在你的密码的开头。比如在Facebook,你就把k放在密码的开头,这样就变成了kRPM8t4ka。尽管这种办法不是绝对的安全,但也不错了。这样即便别人看见你在登陆Facebook时输入的是kRPM8t4ka,他也对如何获得你的银行密码一无所知。群体攻击者会收集成千上万的密码,只要其中有一部分原样也能在别的网站用就成了,剩下那些他很可能不会在乎。

我的强密码里并没有标点符号或者非ASCII的字符。万一有网站要求这样字符的,我就在末尾加个好记的符号。

个人网上银行如何保障安全

个人网上银行会采用https的加密协议来保障交易安全,结尾比你常见的http多了个s。你在电脑上输入个人网上银行地址,当跳转到账户信息输入页面时,网址栏就由http变为https了,而且在最后面还多了一只小挂锁,这寓示着通过这个页面输入并传送的数据,会被128位的加密算法进行加密,只有银行方面才能正确解密,即使这些加密数据被黑客全部拿到,也毫无用途。

图片 1

图片 2

网银和支付宝的https页面和小挂锁标示,点击黄色小挂锁,就会弹出“网站标识”框,可查看证书情况。

而且,用电脑通过https方式访问个人网上银行时,还有认证手段的保护,操作帐户资金限额的大小与认证手段的强度相匹配,电子口令卡的认证强度低,能操作的资金少,而U盾的认证强度大,能操作的资金就多。使用https协议与个人网上银行进行连接,这是银行为了保证安全而采取的强制措施,通过非加密协议传送的信息是不会被银行所接纳的。

用过个人网上银行的网友都会知道,使用前必须安装银行提供的安全控件,否则帐户信息栏是灰色的,根本无法输入任何信息。而手机的系统无论是苹果、安卓、还是塞班,统统都不支持这个控件,根本就安装不了,帐号自然无法输入,被盗取更是毫无可能。

有些高水平玩家会在手机上装虚拟机,这倒是可能安装上银行的安全控件并成功操作个人网上银行,这时手机就已可看作是个简版电脑了,自然也要跟使用普通电脑一样,通过https这种安全协议与个人网上银行进行数据交换。

数据会制造出更大的“干草垛”。这一观点是由纳西姆•塔勒布(Nassim Taleb,著名商业思想家,著有《黑天鹅:如何应对不可知的未来》等书作)提出的。随着我们掌握的数据越来越多,可以发现的统计上显著的相关关系也就越来越多。这些相关关系中,有很多都是没有实际意义的,在真正解决问题时很可能将人引入歧途。这种欺骗性会随着数据的增多而指数级地增长。在这个庞大的“干草垛”里,我们要找的那根针被越埋越深。大数据时代的特征之一就是,“重大”发现的数量被数据扩张带来的噪音所淹没。

个人识别码(PIN)

个人识别码就是我们银行卡使用的那种密码。好像没有人费劲去发明一个安全的PIN码,反正世界上大部分自动柜员机也只接受4位阿拉伯数字。(译注:中国自动柜员机一般使用6位阿拉伯数字,但原理相同。)我相信你能猜到最常见的PIN码是什么,但你能猜到有多少人在用吗?

尼克•贝里估计世界上足足有11%的人使用1234。PIN码倒是没有遭遇过几次大规模泄露,黑客对它不太感兴趣,因为没有实体卡的话PIN毫无用途。所以贝里的估计办法是,把所有已暴露的密码里的四位数字密码挑出来,他认为如果有人比方说用1967做密码,那肯定对这个数字情有独钟,输入PIN的时候也十有八九会用它。
贝里列表上的第二常见PIN是1111(6%的人选择了它),第三位是0000(将近2%的人)。简单来看,这意味着如果有个老手骗子捡到了你的银行卡,他有19%的概率能在三次之内猜中你的PIN值。(三次猜错之后一般的ATM就吞卡了。)

以下是贝里的20个最常用PIN码:

1234,1111,0000,1212,7777,1004,2000,4444,2222,6969,9999,3333,5555,6666,1313,8888,4321,2001,1010。

所有的四位一样的密码都在里面出现了。别忘了,这不是个随机实验,这是个“我怕我忘了这个数所以最好挑个超级超级好记的数”实验。

贝里还找到了一些不那么明显的模式:

年份。所有最近的年份,还有几个历史上著名的年份(1492,1776等等)都高居前列。

数对。许多人挑一个两位数,重复一遍就得到了他们的密码(1212,8787等等)。那个两位数的十位和个位通常只差1。

2580。有些人大概是想用在小键盘上玩井字棋的方式来获得随机密码吧……不幸的是要想得到四位数,唯一的办法是从中间直着下去,2580。这是贝里列表上第22常见的选择,这估计要怪小键盘的发明者阿方斯•恰怕尼斯(Alphonse Chapanis)。

1004。在韩语里这个数字念起来像“天使”。这引发了一首流行歌曲:“成为我的1004”。显然太多的韩国人觉得非韩国人不会知道这个,让它同时成为了流行密码。

挑选一个不在常见列表上的PIN码十分重要。最不常见的PIN是8068,但你恐怕也不要去用这个比较好……我会选一个6、7、8、9或者0开头、没有明显模式的。不要使用和个人有关的数字,比如你的生日、身份证或者信用卡号码。这些数字都在你钱包里,而丢钱包可是丢银行卡最常见的方式。

真相: 这是从昨天开始微博上疯传的一个帖子。其实,无论你使用电脑、iPad、还是手机,只要通过WiFi上网,数据都有可能被控制这部WiFi设备的黑客电脑截获到,其实也未必一定是Win7系统,信息是有可能被窃取的,当然包括未经加密处理的用户名和密码信息。但是,无论什么系统的电脑,架设了多么高级的WiFi热点,黑客都无法在用户正确操作下获取网银和支付宝密码,更不要说盗窃其中的钱了。

数据不懂背景。人类的决策不是离散的事件,而是镶嵌在时间序列和背景之中的。经过数百万年的演化,人脑已经变得善于处理这样的现实。人们擅长讲述交织了多重原因和多重背景的故事。数据分析则不懂得如何叙事,也不懂得思维的浮现过程。即便是一部普普通通的小说,数据分析也无法解释其中的思路。

干嘛这么费神呢?

普通密码,短语密码,记忆法——到底能有多少区别?区别在于随机字符密码是安全的金标准。它比任何人类选择的密码都更强。就算世界上每个人都选择这个方案,它依然安全。

一个长度合适的随机密码,事实上以今天的科技是猜不到的。它不会出现在常用密码列表里。群体攻击者只有蛮力搜索才能猜到随机密码。有大小写字母和数字的情况下,共有62种不同字符(不算特殊符号,因为有些网站不允许)。这意味着一个8位随机密码需要猜62^8次才能确保命中。这是要猜22万亿次。

这实际上足以让你免受互联网群体攻击,也会让定向攻击进展缓慢。假如承认现在的刑侦级密码破译软件每秒钟可以给出28亿个猜测结果,那么猜这么多次也要22小时,这对大部分人都足够了——如果你不这么觉得,你可以简单地多增加几个字符。

但这并不是说随机密码就是无敌的。它不能被猜到,但仍然可能会被偷走。你有没有浪费时间在一些像 “测测你的克林贡名字”(或者巫师名字、犹太名字、色情电影明星名字之类的)这些会让你填写个人信息的网页小游戏上?其中有一些还会让你设置一个密码。这些网站其实是在收集你的密码,因为对方知道你在这个网站的密码很可能和你在别的网站的密码相同或相似。在黑市上,这样收集到的密码大约可以卖到20美金一个。哪怕是细心的人也总是会上这种当。有些高科技恶意软件能记录你敲下的每一个按键,爱管闲事的人会用低科技手段——在你的背后偷看你的密码。黑客可以通过网站的安保薄弱环节偷走你的密码,这就跟用户的密码复杂程度完全无关了。

密码就像你家房门的钥匙,哪怕你家里是防盗门,但如果小偷从你的口袋里偷走了钥匙,那扇门就跟普通的门一样不安全。安保,永远是最弱的一环。

图片 3原图:xkcd.com

手机银行如何保障安全

用户可通过手机上的专门客户端程序,通过WAP方式与银行系统建立了连接,并进行账户查询、转账、缴费付款、消费支付等金融服务,这种方式被称为“手机银行”。与一般上网方式显著不同的是,其网址的头三个字母是WAP。手机银行的帐户信息是经过静态加密处理的,而且与手机绑定,假使他人盗取了你的账户信息,但其它手机上也无法操作。经与工行客服核实,他们称现在为了方便用户,允许非指定手机操作手机银行账户了,但允许操作的资金额度很低。

最重要的是,手机银行还有认证手段。加密的原理很简单,其目的是让非授权用户即使获取了数据也无法利用,而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施,用来保证数据是真实可靠的,接收者是被授权的。从采用的具体技术和算法而言,加密与认证并没有明显的区别,但从功能角度而言,两者非常不同,相互不能取代,并可通过有效配合而达到很高的安全性。

你输入了正确的帐号和密码,当进行涉及到账户资金变动的操作时,手机银行会提示你输入特定的电子口令,而电子口令卡就是一种有效的认证手段。例如下图就是张工行的电子口令卡,它发来信息C5H8,你就要在相应的输入框里输入138141,而且银行每次发来的信息都不会相同。

图片 4

工行的电子口令卡

不同的银行可能会采用不同的认证方法,比如建行就是通过绑定手机发送手机验证码,但都起到了类似的作用。

数据掩盖了价值观念。我最近读到一本有着精彩标题的学术专著——《‘原始数据’只是一种修辞》。书中的要点之一就是,数据从来都不可能是“原始”的,数据总是依照某人的倾向和价值观念而被构建出来的。数据分析的结果看似客观公正,但其实价值选择贯穿了从构建到解读的全过程。

(真陆行鸟,Revolucion/编译)一项最近的研究表明,1%的密码可以在4次之内猜中。

这位CEO手下的经济学家描绘出一片惨淡的景象,并且计算出经济低迷对公司意味着什么。但是最终,他还是在自己价值观念的指引下做出了决定。

本文由奥门金沙网址发布于科技,转载请注明出处:怎么着是数额分析做不了的,用公家WiFi上网会损

上一篇:中国科技巨头二季度风投总额首次超北美,京东 下一篇:没有了
猜你喜欢
热门排行
精彩图文