細(xì)數(shù)公共WiFi上網(wǎng)的危害

創(chuàng)建公共WIFI熱點(diǎn)(MyPublicWiFi)5.1 官方版

• 類(lèi)型：網(wǎng)絡(luò)共享大小：1.1M語(yǔ)言：英文 評(píng)分：3.3
• 標(biāo)簽：

立即下載

在星巴克、麥當(dāng)勞這些提供免費(fèi)WiFi的公共場(chǎng)合，用一臺(tái)Win7系統(tǒng)電腦、一套無(wú)線網(wǎng)絡(luò)及一個(gè)網(wǎng)絡(luò)包分析軟件，15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個(gè)人信息和密碼。國(guó)內(nèi)某知名安全機(jī)構(gòu)的工程師承認(rèn)，這個(gè)真可以做到。網(wǎng)銀、支付寶密碼……你懂的。

真相：

這是從昨天開(kāi)始微博上瘋傳的一個(gè)帖子。其實(shí)，無(wú)論你使用電腦、iPad、還是手機(jī)，只要通過(guò)WiFi上網(wǎng)，數(shù)據(jù)都有可能被控制這部WiFi設(shè)備的黑客電腦截獲到，其實(shí)也未必一定是Win7系統(tǒng)，信息是有可能被竊取的，當(dāng)然包括未經(jīng)加密處理的用戶名和密碼信息。但是，無(wú)論什么系統(tǒng)的電腦，架設(shè)了多么高級(jí)的 WiFi熱點(diǎn)，黑客都無(wú)法在用戶正確操作下獲取網(wǎng)銀和支付寶密碼，更不要說(shuō)盜竊其中的錢(qián)了。

手機(jī)銀行如何保障安全

用戶可通過(guò)手機(jī)上的專(zhuān)門(mén)客戶端程序，通過(guò)WAP方式與銀行系統(tǒng)建立了連接，并進(jìn)行賬戶查詢(xún)、轉(zhuǎn)賬、繳費(fèi)付款、消費(fèi)支付等金融服務(wù)，這種方式被稱(chēng)為 “手機(jī)銀行”。與一般上網(wǎng)方式顯著不同的是，其網(wǎng)址的頭三個(gè)字母是WAP。手機(jī)銀行的帳戶信息是經(jīng)過(guò)靜態(tài)加密處理的，而且與手機(jī)綁定，，假使他人盜取了你的賬戶信息，但其它手機(jī)上也無(wú)法操作。經(jīng)與工行客服核實(shí)，他們稱(chēng)現(xiàn)在為了方便用戶，允許非指定手機(jī)操作手機(jī)銀行賬戶了，但允許操作的資金額度很低。

最重要的是，手機(jī)銀行還有認(rèn)證手段。加密的原理很簡(jiǎn)單，其目的是讓非授權(quán)用戶即使獲取了數(shù)據(jù)也無(wú)法利用，而認(rèn)證則是對(duì)數(shù)據(jù)是否篡改、接收數(shù)據(jù)的人是不是授權(quán)用戶等方面的審查措施，用來(lái)保證數(shù)據(jù)是真實(shí)可靠的，接收者是被授權(quán)的。從采用的具體技術(shù)和算法而言，加密與認(rèn)證并沒(méi)有明顯的區(qū)別，但從功能角度而言，兩者非常不同，相互不能取代，并可通過(guò)有效配合而達(dá)到很高的安全性。

你輸入了正確的帳號(hào)和密碼，當(dāng)進(jìn)行涉及到賬戶資金變動(dòng)的操作時(shí)，手機(jī)銀行會(huì)提示你輸入特定的電子口令，而電子口令卡就是一種有效的認(rèn)證手段。例如下圖就是張工行的電子口令卡，它發(fā)來(lái)信息C5H8，你就要在相應(yīng)的輸入框里輸入138141，而且銀行每次發(fā)來(lái)的信息都不會(huì)相同。

工行的電子口令卡

不同的銀行可能會(huì)采用不同的認(rèn)證方法，比如建行就是通過(guò)綁定手機(jī)發(fā)送手機(jī)驗(yàn)證碼，但都起到了類(lèi)似的作用。

個(gè)人網(wǎng)上銀行如何保障安全

個(gè)人網(wǎng)上銀行會(huì)采用https的加密協(xié)議來(lái)保障交易安全，結(jié)尾比你常見(jiàn)的http多了個(gè)s。你在電腦上輸入個(gè)人網(wǎng)上銀行地址，當(dāng)跳轉(zhuǎn)到賬戶信息輸入頁(yè)面時(shí)，網(wǎng)址欄就由http變?yōu)閔ttps了，而且在最后面還多了一只小掛鎖，這寓示著通過(guò)這個(gè)頁(yè)面輸入并傳送的數(shù)據(jù)，會(huì)被128位的加密算法進(jìn)行加密，只有銀行方面才能正確解密，即使這些加密數(shù)據(jù)被黑客全部拿到，也毫無(wú)用途。

網(wǎng)銀和支付寶的https頁(yè)面和小掛鎖標(biāo)示，點(diǎn)擊黃色小掛鎖，就會(huì)彈出“網(wǎng)站標(biāo)識(shí)”框，可查看證書(shū)情況。

而且，用電腦通過(guò)https方式訪問(wèn)個(gè)人網(wǎng)上銀行時(shí)，還有認(rèn)證手段的保護(hù)，操作帳戶資金限額的大小與認(rèn)證手段的強(qiáng)度相匹配，電子口令卡的認(rèn)證強(qiáng)度低，能操作的資金少，而U盾的認(rèn)證強(qiáng)度大，能操作的資金就多。使用https協(xié)議與個(gè)人網(wǎng)上銀行進(jìn)行連接，這是銀行為了保證安全而采取的強(qiáng)制措施，通過(guò)非加密協(xié)議傳送的信息是不會(huì)被銀行所接納的。

用過(guò)個(gè)人網(wǎng)上銀行的網(wǎng)友都會(huì)知道，使用前必須安裝銀行提供的安全控件，否則帳戶信息欄是灰色的，根本無(wú)法輸入任何信息。而手機(jī)的系統(tǒng)無(wú)論是蘋(píng)果、安卓、還是塞班，統(tǒng)統(tǒng)都不支持這個(gè)控件，根本就安裝不了，帳號(hào)自然無(wú)法輸入，被盜取更是毫無(wú)可能。

有些高水平玩家會(huì)在手機(jī)上裝虛擬機(jī)，這倒是可能安裝上銀行的安全控件并成功操作個(gè)人網(wǎng)上銀行，這時(shí)手機(jī)就已可看作是個(gè)簡(jiǎn)版電腦了，自然也要跟使用普通電腦一樣，通過(guò)https這種安全協(xié)議與個(gè)人網(wǎng)上銀行進(jìn)行數(shù)據(jù)交換。

警惕釣魚(yú)網(wǎng)站

不少賬戶被盜的案例其實(shí)是因?yàn)樵L問(wèn)了釣魚(yú)網(wǎng)站。他們偽裝成正規(guī)的銀行頁(yè)面或是支付頁(yè)面，騙取你輸入的帳戶名和密碼，而這未必一定需要通過(guò)WiFi熱點(diǎn)這種方式來(lái)實(shí)現(xiàn)，任何上網(wǎng)的方式都有可能上當(dāng)。不過(guò)，公共的WiFi確實(shí)提供了植入釣魚(yú)網(wǎng)站的潛力，利用ARP欺騙，可以在用戶瀏覽網(wǎng)站時(shí)植入一段 HTML代碼，使其自動(dòng)跳轉(zhuǎn)到釣魚(yú)網(wǎng)站。從這個(gè)角度說(shuō)，公共WiFi網(wǎng)絡(luò)為用戶提供了一個(gè)便利的釣魚(yú)環(huán)境。

避免被釣要注意使用安全。一方面，需要對(duì)別人發(fā)來(lái)的網(wǎng)絡(luò)地址多留心，因?yàn)檫@個(gè)地址可能非常接近如淘寶、網(wǎng)上銀行的域名地址，打開(kāi)的頁(yè)面也幾乎和真實(shí)的節(jié)目完全一致，但是實(shí)際你進(jìn)入的是一個(gè)偽裝的釣魚(yú)網(wǎng)站;另一方面，盡量選擇具有安全認(rèn)證功能的瀏覽器，這些瀏覽器能夠自動(dòng)提示你打開(kāi)的頁(yè)面是否安全，避免進(jìn)入釣魚(yú)網(wǎng)站。對(duì)于智能手機(jī)用戶，在下載和交易有關(guān)的客戶端軟件時(shí)盡量選擇官方渠道下載，不要安裝來(lái)路不明的客戶端。

結(jié)論： 

銀行賬戶是否安全與手機(jī)是否是通過(guò)免費(fèi)的WiFi上網(wǎng)，并沒(méi)有必然的聯(lián)系。使用基于WAP客戶端的手機(jī)銀行是安全的，用電腦通過(guò)https使用個(gè)人網(wǎng)上銀行也是安全的，但不要用手機(jī)上個(gè)人網(wǎng)上銀行，現(xiàn)在銀行也還不支持這項(xiàng)業(yè)務(wù)。用電腦上個(gè)人網(wǎng)上銀行時(shí)，請(qǐng)核實(shí)下https和地址欄后面的小掛鎖標(biāo)志。