旺源配资,在线配资平台注册,配资平台公司,配资点评网

×

網站建設

當前位置:首頁 > 龍鼎新聞 > 行業新聞 >

數字密碼將死,還敢用支付寶網銀么

作者:龍鼎網絡發布時間:2015-07-23 16:13:38瀏覽次數:15386文章出處:晉城自適應網站制作

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  還有比數字密碼更保險的東西嗎?為了更安全,我們在不斷復雜化密碼:數字、大小字母、下劃線、八位以上等等。而且,為了更安全,不同的網站要有不同的賬戶和密碼,比如,我的支付寶支付密碼十四位,我的p2p理財網站的密碼16位。我的工商銀行,有網銀密碼,數字移動證書密碼,結果老是記混,從5月中旬因為連續輸錯多次密碼,那張工行卡一直被凍結,到現在還沒來得及解凍。

  但是,如此考驗記憶能力、用戶體驗如此不好的數字密碼,真的是絕對安全么?答案當然是否定的,當攜程被黑之后,人們擔心信用卡信息會泄露。

  其實,無論是黑客還是安全專家,都相信,數字密碼即將過時了,取代它的是什么?到那個時候,你的支付寶和網銀會更安全嗎?

  黑客如何入侵

  先來看看,黑客是如何攻陷網站和用戶賬號的。

  斗象科技聯合創始人兼COO謝忱,作為白帽黑客,深諳黑客圈的秘密,他公司旗下的Freebuf.com是國內最大的安全社區和新媒體。根據謝忱的介紹,互聯網攻擊主要分為以下幾種。

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  第一,以癱瘓目標為目的DDOS攻擊和DNS劫持。

  拿煎餅攤舉例。DDOS攻擊就是東頭的煎餅攤攻擊西頭的O2O煎餅攤,你不是可以網上下單么,我訂他200個,不去取煎餅,沖垮你?;氐骄€上就是,A網站到B網站發起超出他常規訪問量的這種流量過去,B網站可能平常沒有接受這么大訪問量,所以癱瘓。

  DNS劫持,就是路人甲想去西頭的O2O煎餅攤,結果你和他說,這個煎餅攤在東邊。意思是你原本要打開A網站,結果跳到了B網站。上面講到的2種攻擊方式,去年就被各大黑客組織用得很普遍。

  而針對黑客的防御方式,有各種驗證碼,比如:

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  如果是這個驗證碼,那真是足夠安全了。但是這種驗證碼或許只適合數學教授。

  因此,考慮到用戶的傻瓜體驗,驗證碼不能這么復雜。常見的是各種數字、字母、漢字密碼,還可能是個加減乘除的算術題等等。

  這里有個變化過程。最開始,驗證碼是字母,很快黑客破掉了;后來數字,又被破,再后來數字加字母,增強了識別圖像的破解難度。現在,還發展到圖形之間的連接,做圖像識別的都知道,有鏈接點,識別難度就會大大增強。另外你有沒有發現淘寶網站的驗證碼都歪歪扭扭的,也是為了增加辨識的難度。

  所以,攻防之間是永遠不停息地對抗博弈,防守也在不斷進步,而黑客也并非大家想象得上天入地無所不能。

  第二類,以盜信息為目的攻擊。

  黑客想盜取你的帳號,可以通過很多方式把信息串聯起來,比如說在找工作網站找到就業信息,在婚戀網站找到家庭信息、情感狀況,再通過購票網站找身份證,最后把這些信息全部拼湊在一起,關聯起來盜號。

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  此外,由于很多小伙伴習慣于在不同的網站使用同一賬號和密碼,因此被破解成功后危險性更大。此次攜程被黑,很多用戶會擔心信用卡賬戶會被盜刷。

  第三,以入侵為目的的攻擊。

  一些匿名的黑客組織,號稱是全美帝甚至是國際級的黑客組織。但是,黑客攻擊,并非大家想象得這么容易。無論是黑一個網站也好,還是黑一個目標人,其實難度都不小。之前號稱有國際組織要黑中國的網站,吹噓得很厲害,其實,這個組織最終入侵成功的網站,都是什么鄉什么縣的地域性小網站,常年無人維護,安全防護措施約等于無,入侵門檻較低。

  如何干掉黑客

  1,拋棄筑城墻思維,立體防控

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  2、利用好大數據,黑客可運用各個網站的東西把人的信息關聯起來,實施定向打擊,防御者也需要用大數據回擊。比如A網站獲得所有攻擊者IP地址,B網站也有這些信息,通過建立共享平臺,共享數據庫,以后這些黑客在攻擊的時候可以匹配出他的歷史和蹤跡,他利用什么攻擊手段,可以給這個IP打上壞人的標簽。

  3、新防御手段技術革命。下面這些都是很好的嘗試:

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  拋棄數字密碼

  說了這么多,其實用戶之所以擔心密碼被盜,第一是怕泄露個人隱私,第二怕錢財丟失。由于數字密碼存在泄漏的可能,因此數字密碼并不絕對安全,而未來通過大數據、生物識別等手段,數字密碼將會被逐步取代丟棄。

  支付寶早早就在進行嘗試了,根據支付寶目前的技術,就算你的數字密碼被盜了,錢幾乎也不會被取走,這不是科幻,這是科學。

  雖然表面上,支付寶登錄的時候,其安全屏障,在用戶前端,只是一串數字密碼,但是背后卻有個神奇的風控大腦。

  這個風控大腦的邏輯是“認人,而不只是識別數字密碼”。認人的意思是說:就用黑客盜走了用戶的密碼,但是盜了密碼,還是拿不走錢!因為這把鎖,只認主人,主人開,我就放行,不是主人在開,你就goaway。如果拿不準是不是主人,就會通過再次校驗的方式,來判斷是否是主人。

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  聽上去很智能吧,其實,支付寶訓練這個風控大腦已經8年多了。具體來說,這個大腦會根據一些維度來做判斷并打分,分數在0-1之間,打分高,說明風險系數比較高。這個風控大腦的打分因素包括:賬戶、設備、位置、行為、關系、偏好等因素,每一個大類里面都會包含很多細的策略,而這樣的策略總計有10000條左右。不過,風控大腦運算這些復雜策略的時間很快,平均為0.15秒,所以用戶基本上是無感知的。

  具體的打分模型如下:

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  比如說:行為維度。每個人都會有自己的習慣,比如走路姿勢和筆跡。支付寶的風控大腦策略就是:每個人觸控手機屏幕的方式不同,而手機上是有很多傳感器的。所以可以通過指壓、接觸面積、重力變化,連續間隔時間等,可以幫助判斷是否是主人操作。國外實驗室測算,這種技術能讓判斷風險的成功率提升7倍,支付寶大概提升了5倍。

  再比如說:關系維度。一個黑客,來偷用戶的賬戶,然后把錢轉到另一個賬戶。如果這個賬戶和你從未有過資金往來,和你的朋友們也沒有過資金往來,CTU就會提高警覺了,如果這個賬戶是曾經有過不良記錄的,或者和黑名單賬戶有過某些交集,CTU很大程度就會攔截,因為它知道,這估計不是主人在操作。

  當然了,根據六度人際理論,通過六個人,你就能認識全世界的人,而網路上的人際關系自然也錯綜復雜,這就需要強大的關系數據收集和分析能力。網絡上的人際關系示意圖如下:

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  圖文是不是看起來有點暈,其實舉例就很容易說清楚了。有個深圳的支付寶用戶,經常購買理財產品,平時用的是ios操作系統。2014年 ,該用戶接收了偽基站10086的短信,主動輸入了身份證信息和銀行卡信息,并中手機木馬。

  當日深夜,騙子結合上述信息,成功獲取校驗碼后修改登錄密碼,并在廣州某小區登陸,之后又修改支付密碼。接著,得意洋洋下單一臺iphone5,打算用別人的錢,給自己換手機。

  沒想到,風控大腦直接判定交易失敗,并對賬戶進行了限制。第二天,支付寶客服給用戶打電話,確認用戶賬戶是被盜了,并引導其重置密碼。

  為什么這個騙子盜取了數字密碼,卻沒偷到錢,是因為支付寶的風控系統經過分析,認為其操作行為可疑,風險評分太高超過了安全線!

  首先,登陸的設備不是主人的日常設備,登陸地點不在深圳,而在廣州某小區,風控大腦已經開始警覺。接著,對于修改密碼的行為,風控大腦很困惑,一個經常購買理財產品,經常輸入密碼的人,深更半夜去修改密碼干嘛,一般修改密碼都是密碼忘記了,要找回密碼才會重置嘛。最后,主人平時主要就是理財,極少淘寶,大半夜的,改了密碼就直奔瘋5,這非常違背常理,所以,阻止資金流出。

數字密碼將死,還敢用支付寶網銀么,龍鼎網絡

  從上面這個案例可以看出,支付寶風控大腦的打分,會綜合考慮多種因素,而不會根據某一個單項來,因為單項不足以說明問題,比如設備,那主人換一個設備去使用支付寶也是很有可能的。

  盡管支付寶的風控大腦如此高科技,為啥支付寶還有被盜發生?

  首先,被盜不代表資金損失,像上面的案例,被盜了,錢還在。

  第二,最終產生資金損失,雖然這個概率很低,大概是1/100萬,原因有兩大類:世上總有些很巧合的事情,在行為習慣,偏好,位置等等很多方面,壞人和你都極其吻合,導致CTU沒能發現,風險評分不夠高。

  不過,更多的是,CTU發現了,但分數沒有高到直接判定失敗,而是處于疑惑階段,它輸出了二次校驗的方式,可惜,用戶再次泄露了校驗信息,所以打死別把校驗碼給人。

  說到校驗,短信校驗(短信驗證碼)是最常見的,不過,以后這會被更多的校驗方式逐步取代,因為還有更多不易被泄露或者截取,安全性更高的校驗方式。

  比如說,系統會問你,以下哪個商品,是你最近購買過的,這個壞人很難知道了。比如當你在新的設備登陸微信時,微信會讓你在一堆頭像中選出微信好友。再比如說,別輸入短信校驗碼了,來刷個臉吧,壞人總不至于把你拉過去做人臉識別吧。

  總之,安全分為系統安全、產品安全(也就是前端可見的很多東西,比如密碼,各類驗證等),還有后臺實時監控的安全防范體系。未來的趨勢是,逐步把精力放在后臺安全,通過生物識別和大數據的方式來保證安全。而用戶需要做的事情可以最少,甚至有一天,用戶壓根可以不需要記住數字字母密碼,因為這把鎖足夠聰明,它知道開鎖的是不是主人。你本人就是密碼本身了,這是包括螞蟻金服在內互聯網公司努力的方向。

  只有這樣,在新環境下,才能提高安全性能,同時也是讓用戶體驗做到極簡友好。安全可靠和用戶體驗這對矛盾體,能夠盡可能平衡。

  不過,為什么到現在,指紋識別的密碼還沒有普及呢?支付寶人士說,主要是目前支持指紋識別的手機并不是特別多,只有蘋果、三星和華為的某些高端機型才有此功能,而且指紋識別的準確度也需要進一步提高。

  現在問題來了,如果以后不用數字密碼了,你也不用操心費力記那一堆數字了,那時候,你還敢不敢使用支付寶和網銀呢,我猜,你敢。

晉城龍鼎 - 晉城網站建設為您解答!

客戶評價

專業的網站建設、響應式、手機站微信公眾號開發

© 2010-2020 龍鼎網絡 版權所有 晉ICP備14008335號-1

注冊號:140502200020561

公眾號 微信聯系

手機版 進入手機版