中国IDC圈6月5日报道:还有比数字密码更保险的吗?
为了更安全,我们在不断复杂化密码:数字、大小字母、下划线、八位以上等等。而且,为了更安全,不同的网站要有不同的账户和密码,比如,我的支付宝支付密码十四位,我的p2p理财网站的密码16位。我的工商银行,有网银密码,数字移动证书密码,结果老是记混,从5月中旬因为连续输错多次密码,那张工行卡一直被冻结,到现在还没来得及解冻。
但是,如此考验记忆能力、用户体验如此不好的数字密码,真的是绝对安全么?答案当然是否定的,当携程被黑之后,人们担心信用卡信息会泄露。
其实,无论是黑客还是安全专家,都相信,数字密码即将过时了,取代它的是什么?到那个时候,你的支付宝和网银会更安全吗?
黑客如何入侵
先来看看,黑客是如何攻陷网站和用户账号的。
斗象科技联合创始人兼COO谢忱,作为白帽黑客,深谙黑客圈的秘密,他公司旗下的Freebuf.com是国内大的安全社区和新媒体。根据谢忱的介绍,互联网攻击主要分为以下几种。
第一,以瘫痪目标为目的DDOS攻击和DNS劫持。
拿煎饼摊举例。DDOS攻击就是东头的煎饼摊攻击西头的O2O煎饼摊,你不是可以网上下单么,我订他200个,不去取煎饼,冲垮你。回到线上就是,A网站到B网站发起超出他常规访问量的这种流量过去,B网站可能平常没有接受这么大访问量,所以瘫痪。
DNS劫持,就是路人甲想去西头的O2O煎饼摊,结果你和他说,这个煎饼摊在东边。意思是你原本要打开A网站,结果跳到了B网站。上面讲到的2种攻击方式,去年就被各大黑客组织用得很普遍。
而针对黑客的防御方式,有各种验证码,比如:
如果是这个验证码,那真是足够安全了。但是这种验证码或许只适合数学教授。
因此,考虑到用户的傻瓜体验,验证码不能这么复杂。常见的是各种数字、字母、汉字密码,还可能是个加减乘除的算术题等等。
这里有个变化过程。最开始,验证码是字母,很快黑客破掉了;后来数字,又被破,再后来数字加字母,增强了识别图像的破解难度。现在,还发展到图形之间的连接,做图像识别的都知道,有链接点,识别难度就会大大增强。另外你有没有发现淘宝网站的验证码都歪歪扭扭的,也是为了增加辨识的难度。
所以,攻防之间是永远不停息地对抗博弈,防守也在不断进步,而黑客也并非大家想象得上天入地无所不能。
第二类,以盗信息为目的攻击。
黑客想盗取你的帐号,可以通过很多方式把信息串联起来,比如说在找工作网站找到就业信息,在婚恋网站找到家庭信息、情感状况,再通过购票网站找身份证,最后把这些信息全部拼凑在一起,关联起来盗号。
此外,由于很多小伙伴习惯于在不同的网站使用同一账号和密码,因此被破解成功后危险性更大。此次携程被黑,很多用户会担心信用卡账户会被盗刷。
第三,以入侵为目的的攻击。
一些匿名的黑客组织,号称是全美帝甚至是国际级的黑客组织。但是,黑客攻击,并非大家想象得这么容易。无论是黑一个网站也好,还是黑一个目标人,其实难度都不小。之前号称有国际组织要黑中国的网站,吹嘘得很厉害,其实,这个组织最终入侵成功的网站,都是什么乡什么县的地域性小网站,常年无人维护,安全防护措施约等于无,入侵门槛较低。
如何干掉黑客
1,抛弃筑城墙思维,立体防控
2、利用好大数据,黑客可运用各个网站的东西把人的信息关联起来,实施定向打击,防御者也需要用大数据回击。比如A网站获得所有攻击者IP地址,B网站也有这些信息,通过建立共享平台,共享数据库,以后这些黑客在攻击的时候可以匹配出他的历史和踪迹,他利用什么攻击手段,可以给这个IP打上坏人的标签。
3、新防御手段技术革命。下面这些都是很好的尝试:
抛弃数字密码
说了这么多,其实用户之所以担心密码被盗,第一是怕泄露个人隐私,第二怕钱财丢失。由于数字密码存在泄漏的可能,因此数字密码并不绝对安全,而未来通过大数据、生物识别等手段,数字密码将会被逐步取代丢弃。
支付宝早早就在进行尝试了,根据支付宝目前的技术,就算你的数字密码被盗了,钱几乎也不会被取走,这不是科幻,这是科学。
虽然表面上,支付宝登录的时候,其安全屏障,在用户前端,只是一串数字密码,但是背后却有个神奇的风控大脑。
这个风控大脑的逻辑是“认人,而不只是识别数字密码”。认人的意思是说:就用黑客盗走了用户的密码,但是盗了密码,还是拿不走钱!因为这把锁,只认主人,主人开,我就放行,不是主人在开,你就goaway。如果拿不准是不是主人,就会通过再次校验的方式,来判断是否是主人。
听上去很智能吧,其实,支付宝训练这个风控大脑已经8年多了。具体来说,这个大脑会根据一些维度来做判断并打分,分数在0-1之间,打分高,说明风险系数比较高。这个风控大脑的打分因素包括:账户、设备、位置、行为、关系、偏好等因素,每一个大类里面都会包含很多细的策略,而这样的策略总计有10000条左右。不过,风控大脑运算这些复杂策略的时间很快,平均为0.15秒,所以用户基本上是无感知的。
具体的打分模型如下:
比如说:行为维度。每个人都会有自己的习惯,比如走路姿势和笔迹。支付宝的风控大脑策略就是:每个人触控手机屏幕的方式不同,而手机上是有很多传感器的。所以可以通过指压、接触面积、重力变化,连续间隔时间等,可以帮助判断是否是主人操作。国外实验室测算,这种技术能让判断风险的成功率提升7倍,支付宝大概提升了5倍。
再比如说:关系维度。一个黑客,来偷用户的账户,然后把钱转到另一个账户。如果这个账户和你从未有过资金往来,和你的朋友们也没有过资金往来,CTU就会提高警觉了,如果这个账户是曾经有过不良记录的,或者和黑名单账户有过某些交集,CTU很大程度就会拦截,因为它知道,这估计不是主人在操作。
当然了,根据六度人际理论,通过六个人,你就能认识全世界的人,而网路上的人际关系自然也错综复杂,这就需要强大的关系数据收集和分析能力。网络上的人际关系示意图如下:
图文是不是看起来有点晕,其实举例就很容易说清楚了。有个深圳的支付宝用户,经常购买理财产品,平时用的是ios操作系统。2014年6月7日,该用户接收了伪基站10086的短信,主动输入了身份证信息和银行卡信息,并中手机木马。
当日深夜,骗子结合上述信息,成功获取校验码后修改登录密码,并在广州某小区登陆,之后又修改支付密码。接着,得意洋洋下单一台iphone5,打算用别人的钱,给自己换手机。
没想到,风控大脑直接判定交易失败,并对账户进行了限制。第二天,支付宝客服给用户打电话,确认用户账户是被盗了,并引导其重置密码。
为什么这个骗子盗取了数字密码,却没偷到钱,是因为支付宝的风控系统经过分析,认为其操作行为可疑,风险评分太高超过了安全线!
首先,登陆的设备不是主人的日常设备,登陆地点不在深圳,而在广州某小区,风控大脑已经开始警觉。接着,对于修改密码的行为,风控大脑很困惑,一个经常购买理财产品,经常输入密码的人,深更半夜去修改密码干嘛,一般修改密码都是密码忘记了,要找回密码才会重置嘛。最后,主人平时主要就是理财,极少淘宝,大半夜的,改了密码就直奔疯5,这非常违背常理,所以,阻止资金流出。
从上面这个案例可以看出,支付宝风控大脑的打分,会综合考虑多种因素,而不会根据某一个单项来,因为单项不足以说明问题,比如设备,那主人换一个设备去使用支付宝也是很有可能的。
尽管支付宝的风控大脑如此高科技,为啥支付宝还有被盗发生?
首先,被盗不代表资金损失,像上面的案例,被盗了,钱还在。
第二,最终产生资金损失,虽然这个概率很低,大概是1/100万,原因有两大类:世上总有些很巧合的事情,在行为习惯,偏好,位置等等很多方面,坏人和你都极其吻合,导致CTU没能发现,风险评分不够高。
不过,更多的是,CTU发现了,但分数没有高到直接判定失败,而是处于疑惑阶段,它输出了二次校验的方式,可惜,用户再次泄露了校验信息,所以打死别把校验码给人。
说到校验,短信校验(短信验证码)是最常见的,不过,以后这会被更多的校验方式逐步取代,因为还有更多不易被泄露或者截取,安全性更高的校验方式。
比如说,系统会问你,以下哪个商品,是你最近购买过的,这个坏人很难知道了。比如当你在新的设备登陆微信时,微信会让你在一堆头像中选出微信好友。再比如说,别输入短信校验码了,来刷个脸吧,坏人总不至于把你拉过去做人脸识别吧。
总之,安全分为系统安全、产品安全(也就是前端可见的很多东西,比如密码,各类验证等),还有后台实时监控的安全防范体系。未来的趋势是,逐步把精力放在后台安全,通过生物识别和大数据的方式来保证安全。而用户需要做的事情可以最少,甚至有一天,用户压根可以不需要记住数字字母密码,因为这把锁足够聪明,它知道开锁的是不是主人。你本人就是密码本身了,这是包括蚂蚁金服在内互联网公司努力的方向。
只有这样,在新环境下,才能提高安全性能,同时也是让用户体验做到极简友好。安全可靠和用户体验这对矛盾体,能够尽可能平衡。
不过,为什么到现在,指纹识别的密码还没有普及呢?支付宝人士说,主要是目前支持指纹识别的手机并不是特别多,只有苹果、三星和华为的某些高端机型才有此功能,而且指纹识别的准确度也需要进一步提高。
现在问题来了,如果以后不用数字密码了,你也不用操心费力记那一堆数字了,那时候,你还敢不敢使用支付宝和网银呢,我猜,你敢。