首页 - 理财 - 产品动态 - 正文

请注意!您所输入的密码正在被截取……

关注证券之星官方微博:

网络时代,密码已经成为我们生活中的一部分。网上购物、电子邮箱、聊天社交、网银转账……这么多的密码,我们一次次的输入、登录,然后开始享受便捷的服务。然而有一天,你发现网银或第三方支付账户上资金被转走了……原因简单而粗暴——密码被盗了。所以,不时会有人语重心长的教导我们,密码要复杂些再复杂些,复杂的自己都不认识了;要长一点再长一点,长的就如一首诗。然而,密码被盗的情况依然严重。为了盗取密码,特别是那些涉及资产的高价值密码,黑客们会不择手段。下面,我们就来看看黑客们常用的几种密码截取手段:

(1)键盘窃听

这个比较好理解,就是在键盘使用者不知情的情况下,通过隐蔽的方式记录下键盘的每一次按键信息,并将这些按键信息发送到黑客的电脑或手机,黑客可通过这些信息获取密码。进行键盘窃听可通过各种软硬件手段实现,例如在用户设备上植入木马程序,或者是伪装成U盘、插头、充电器等你想得到或想不到的各类物体的键盘记录器。

(2)屏幕记录


图注:安全键盘也有软肋

现在,网银和很多软件的登录界面都支持软键盘输入。软键盘又称为安全键盘或动态键盘。因为软键盘的数字和字母都是随即生成排列的,又通过鼠标点击输入,所以很难被木马记录到。然而这难不倒黑客,他们很快开始使用屏幕记录软件,对用户屏幕进行截屏,通过截图记录鼠标点击的位置,以此破解用户密码。

(3)嗅探器

在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码),最有效的手段之一是使用嗅探器程序,使用这种工具,黑客可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以未经加密保护的形式在网络上传输时,嗅探器就如嗅到了血腥味的鲨鱼,开始贪婪的吞噬网上传送的数据包。

以上是几种比较常见和容易理解的密码截取方式,除此以外还有如键盘钩子、反汇编、 逆向分析等五花八门且在不断推陈出新的手段。但万变不离其宗,黑客基本都是选择在密码输入或输入完毕后的信息传送阶段下手。我们每一次点击、每一次输入,都会产生一个记录,所以在记录产生的第一时间就应对其进行安全存储。而在密码输入完毕点击提交,也就是从客户端传输到服务器端的全过程都需要进行加密。做好以上两点,黑客就无从下手。目前,部分对密码安全要求极高的银行、支付机构,如中国银行、中彩宝等,通过CFCA密码安全控件(亦称SIDS安全输入开发套件)实现密码输入安全存储和加密传输。那么,密码安全控件是如何保护密码安全的呢?


图注:使用安全控件保护各类设备、平台的密码输入、传输

CFCA密码安全控件由为国内97%的银行提供电子认证和信息安全服务的中国金融认证中心开发,其在研发初期就确立了较高的安全标准,以满足银行严苛的安全需求。CFCA密码控件在客户端密码数据产生的第一时间即将其获取,并使用对称加密算法进行存储。当密码数据进行传输时,安全控件再使用非对称加密算法对数据进行加密传输到服务器,保证只有服务器私钥才能解密数据,确保数据安全抵达服务器。通俗点讲,当我们输入密码时,安全控件可以赶在所有恶意程序下手前就将密码信息收入囊中,并用一把密钥进行加密。此时,恶意程序仍可窃听键盘记录,但得到的只是一堆与密码无关的信息,而密码信息的踪迹只有安全控件知道,并处在其保护之下。其后,密码要从客户端发往服务器端,这一路也是险象丛生,各种嗅探器、中间人攻击闻风而动。但此时安全控件已对密码进行加密,唯有服务器端的一把专有私钥才能解密。黑客就算辛辛苦苦截取到了数据包,却因为手里没有私钥而无法获得密码。

在过去,密码被盗可能只会带来几个q币的损失。但现今,随着互联网金融的极速发展,支付转账的金额越来越大,各种密码截取手段随之层出不穷,密码保护工作不仅越发重要也越发艰巨。在提示用户注意密码使用安全的同时,相关网站、平台、企业应采用如安全控件、数据库防火墙等产品,并不断完善账户、密码等数据的安全策略,强化客户端与服务器端的密码存储、传输及管理,有效遏制密码截取行为,从根本上保护用户的密码安全。

后记——安全控件与HTTPS

有一定信息安全知识基础的用户可能知道,Https网络协议也可以实现信息的安全加密。目前很多互联网金融平台通过安装SSL证书(服务器证书),在登录页面实现Https加密,用以保护用户在页面输入的账户和密码。那么,这是否说明Https可以实现与安全控件类似、甚至是相同的密码保护作用呢?非也,两者存在以下差异:

首先,如前文所述,安全控件第一时间即在客户端,也就是用户的电脑、手机等设备上将密码加密,防止木马截取。而HTTPS仅能在客户端向服务器端传输的这一阶段进行加密,无法应对客户端木马程序对密码的截取。

其次,HTTPS作为一种网络加密协议,虽然安全性比较高,但作为一种通用型协议也并非无懈可击,2014年爆出的“心脏出血”漏洞就体现了其相对脆弱的一面。而安全控件使用独一无二的专有私钥进行加密传输,黑客无法获取私钥,解密无从谈起,安全控件的加密传输安全性比HTTPS更高。当然,并非所有信息都需要通过安全控件进行加密传输,所以将HTTPS与安全控件结合使用是一个更为合理的选择。  

微信
扫描二维码
关注
证券之星微信
APP下载
相关股票:
好投资评级:
好价格评级:
证券之星估值分析提示中国银行盈利能力一般,未来营收成长性一般。综合基本面各维度看,股价偏低。 更多>>
下载证券之星
郑重声明:以上内容与证券之星立场无关。证券之星发布此内容的目的在于传播更多信息,证券之星对其观点、判断保持中立,不保证该内容(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关内容不对各位读者构成任何投资建议,据此操作,风险自担。股市有风险,投资需谨慎。如对该内容存在异议,或发现违法及不良信息,请发送邮件至jubao@stockstar.com,我们将安排核实处理。
网站导航 | 公司简介 | 法律声明 | 诚聘英才 | 征稿启事 | 联系我们 | 广告服务 | 举报专区
欢迎访问证券之星!请点此与我们联系 版权所有: Copyright © 1996-