数字密码末日将至,你的支付宝和网银会更安全么?
还有比数字密码更保险的东西吗?为了更安全,我们在不断复杂化密码:数字、大小字母、下划线、八位以上等等。而且,不同的网站要有不同的账户和密码,比如,我的支付宝支付密码十四位,我的P2P理财网站的密码16位。我的工商银行,有网银密码,数字移动证书密码,结果老是记混,从5月中旬因为连续输错多次密码,那张工行卡一直被冻结,到现在还没来得及解冻。
但是,如此考验记忆能力、用户体验如此不好的数字密码,真的是绝对安全么?当携程被黑之后,人们开始担心信用卡信息会泄露。
如果数字密码死了,取代数字密码的到底是什么,那时候,你的支付宝和网银会更安全吗?
黑客如何入侵
先来看看,黑客是如何攻陷网站和用户账号的。
斗象科技联合创始人兼COO谢忱,作为白帽黑客,深谙黑客圈的秘密,他公司旗下的Freebuf.com是国内最大的安全社区和新媒体。根据谢忱的介绍,互联网攻击主要分为以下几种。
第一,以瘫痪为目的DDOS攻击和DNS劫持。
如果拿煎饼摊举例。DDOS攻击就像是东头的常规煎饼摊攻击西头的O2O煎饼摊,你不是可以网上下单么,我订200个,不去取,冲垮你。在线上的表现就是,A网站到B网站发起超出他常规访问量的流量过去,B网站可能平常没有接受这么大访问量,所以瘫痪。
DNS劫持,则像是路人甲想去西头的O2O煎饼摊,结果有人告诉他,这个煎饼摊在东边。意思是你原本要打开A网站,结果跳到了B网站。这2种攻击方式,去年就被各大黑客组织用得很普遍。
而针对黑客的防御方式,有各种验证码比如:
如果是这个验证码,那真是足够安全了。但是这种验证码或许只适合数学教授。
因此,考虑到用户的傻瓜体验,验证码不能这么复杂。常见的是各种数字、字母、汉字密码,还可能是个加减乘除的算术题等。
开始是字母,很快黑客破掉了,后来数字,又被破解,再后来数字加字母,增强了识别图像的破解难度。现在,还发展到图形之间的连接,识别难度大大增强。另外类似淘宝网站的验证码都是歪歪扭扭的,也是为了增加辨识的难度。
所以,攻防之间是永远不停息地对抗博弈,防守也在不断进步,而黑客也并非大家想象得上天入地无所不能。
第二,以盗信息为目的攻击。
黑客想盗取帐号,可以通过很多方式把信息串联起来,比如说在找工作网站找到就业信息,在婚恋网站找到家庭信息、情感状况,再通过购票网站找身份证,最后把这些信息全部拼凑在一起,关联起来盗号。
此外,由于很多人习惯于在不同的网站使用同一账号和密码,因此被破解成功后危险性更大。
第三,以入侵为目的的攻击。
这种攻击往往是一些匿名的黑客组织,甚至号称是全美帝或者国际级的黑客组织发起的。不过,黑客攻击,无论是想黑一个网站还是黑一个目标用户,并不是那么容易。比如之前有号称是国际级的黑客组织要攻击中国的网站,而事实是,这个组织入侵的网站都是某县城某乡镇的政府或者本地化网站,因为这种网站常年无人维护,安全措施约等于无,因此入侵门槛相对较低。
如何干掉黑客
- 抛弃筑城墙思维,立体防控。
- 利用好大数据。黑客可运用各个网站的资料把人的信息关联起来,实施定向打击,防御者也需要用大数据回击。比如A网站获得所有攻击者IP地址,B网站也有这些信息,通过建立共享平台,共享数据库,以后可以在这些黑客再次攻击的时候匹配出他的历史纪录和行为踪迹,例如他利用过什么攻击手段等。然后可以给这个IP加上恶意的标签,进行针对性的重点防守。
- 新防御手段技术革命。下面这些都是很好的尝试:
抛弃数字密码
说了这么多,其实用户担心密码被盗,一是怕泄露个人隐私,二是更怕钱财丢失。未来,新的安全方式将逐步取代数字密码。根据支付宝的技术,未来就算你的数字密码被盗了,钱几乎也不会被取走。
而这种听起来像科幻,其实是科学的技术是这样保证密码安全的:
虽然我们在支付宝登录的时候,其安全屏障,呈现在用户前端,貌似只是一串数字密码,但是背后其实有个神奇的风控大脑。而这个风控大脑的逻辑是“认人,而不只是识别数字密码”。而认人的意思是说,即使黑客盗走了用户的密码,这种有“风控大脑”的密码锁,也只认主人。主人开,我就放行,不是主人开,你就goaway。如果拿不准是不是主人,就会通过再次校验的方式,来判断是否是主人。
听上去似乎非常科幻,但其实支付宝训练这个风控大脑已经8年多了。具体来说,这个风控大脑会根据一些维度来做判断并打分,分数在0-1之间,打分高,说明风险系数比较高。而打分因素包括:账户、设备、位置、行为、关系、偏好等因素,每一个大类里面都会包含很多细的策略,而这样的策略总计有10000条左右。尽管受这么多因素的影响,风控大脑却能保证运算这些复杂策略的时间很快,平均为0.15秒,因此用户基本上是无感知的。
在如上的打分模型中,拿行为这个维度来说。每个人都会有自己的习惯,比如走路姿势和笔迹。支付宝的风控大脑策略就是:每个人触控手机屏幕的方式不同,而手机上是有很多传感器的。所以可以通过指压、接触面积、重力变化,连续间隔时间等,来帮助判断是否是主人操作。国外实验室测算,这种技术能让判断风险的成功率提升7倍,支付宝大概可以提升了5倍。
再比如说:关系维度。一个黑客,来盗取用户的账户,然后把钱转到另一个账户。如果这个账户和你从未有过资金往来,和你的朋友们也没有过资金往来,CTU就会提高警觉了,如果这个账户是曾经有过不良记录的,或者和黑名单账户有过某些交集,CTU很大程度就会拦截,因为它知道,这估计不是主人在操作。
当然了,根据六度人际理论,通过六个人,你就能认识全世界的人,而网路上的人际关系自然也错综复杂,这就需要强大的关系数据收集和分析能力。
用实际案例说明:
一个深圳的支付宝用户,经常购买理财产品,平时用的是ios操作系统。在2014年6月7日,该用户因接收了伪基站10086的短信,主动输入了身份证信息和银行卡信息,并中手机木马。当日深夜,骗子结合上述信息,成功获取校验码后先后修改登录密码和支付密码,却在预备通过支付宝购买手机盗取钱财之时被风控大脑直接判定交易失败,并对账户进行了限制。第二天,支付宝客服给用户打电话,确认用户账户是被盗了,并引导其重置密码。
为什么这个骗子盗取了数字密码,却没盗走钱,是因为支付宝的风控系统经过分析,认为其操作行为可疑,风险评分太高超过了安全线,高达0.93分。支付宝风控大脑的打分,会综合考虑多种因素,而不会根据某一个单项来,因为单项不足以说明问题,比如登录地点非常用地点,无端修改密码行为,以及不符合用户习惯的购买行为等。
尽管支付宝的风控大脑如此高科技,为啥支付宝还有被盗发生?首先,被盗不代表资金损失,像上面的案例,被盗了,钱还在。其次,虽然概率很低,只有1/100万,但最终产生资金损失的原因有两大类:除了世上总有些很巧合的事情,在行为习惯,偏好,位置等等很多方面,坏人和你都极其吻合,导致CTU没能发现,风险评分不够高以外。更多的是,CTU发现了,但分数没有高到直接判定失败,而是处于疑惑阶段,它输出了二次校验的方式,可惜用户再次泄露了校验信息等原因。
总之,安全分为系统安全、产品安全(也就是前端可见的很多东西,比如密码,各类验证等),还有后台实时监控的安全防范体系。未来的趋势是,逐步把精力放在后台安全,通过生物识别和大数据的方式来保证安全。而用户压根可以不需要记住数字字母密码,因为这把锁足够智能,它知道开锁的是不是主人。你本人就是密码本身了,这也是包括蚂蚁金服在内互联网公司努力的方向。
只有这样,在新环境下,才能提高安全性能,同时也是让用户体验做到极简友好。安全可靠和用户体验这对矛盾体,能够尽可能平衡。
对于为何指纹识别的密码还没有普及的疑问,支付宝相关人士表示,主要原因是目前支持指纹识别的手机并不是特别多,只有苹果、三星和华为的某些高端机型才有此功能,而且指纹识别的准确度也需要进一步提高。
那么问题来了,如果数字密码都被取代了,无需操心费力记那一大堆复杂的数字了,那时候的你还敢不敢使用支付宝和网银呢,我猜,你敢。
【PS:更多文章欢迎关注微信订阅号财经故事会,微信号“caijinggushi”。交流请加个人微信号“61814770”,不过我比较内向,所谓未必通过你的好友验证】