别理我 烦着呢

2013年7月24日星期三

关于网银安全性的一点碎碎念

这篇帖子来源于上周末给一个朋友解释各种银行安全措施,写下来希望能帮到更多人。

网银安全第一步是https(或者叫SSL/TLS,一个意思)配合操作系统或者浏览器里干净的根证书来防止中间人攻击,也能很大程度上防止钓鱼网站。估计很多人看了这句话就想点x了。没办法,安全本来就是个很复杂的事情,想想一张人民币比一张普通的纸要复杂多少倍就知道了。

http://www.williamlong.info/archives/3461.html
这是月光博客上一篇比较详细且容易理解的介绍,推荐阅读

另外,不仅上网的时候可以检查数字证书,安装和执行.exe .msi等文件的时候也要检查,方法是右键该文件->属性->数字签名->点中签名者姓名->详细信息->查看证书->证书路径 然后看是谁颁发给谁的证书。如果想做的更仔细一点,可以点根证书->查看证书->详细信息->指纹 ☺
有证书的可执行文件可以确保没有被黑客修改过,如果开发者干坏事被查出来之后抵赖不掉。

跑题了,继续说网银

接下来就是用户名密码了,不过这一道保护太弱了,无论电脑还是手机都可能会泄露出去。所以银行和支付宝等都不得不想出来其他的保护措施。按照安全级别的高低来说
1:最安全且最贵的就是中国银行的令牌这样的,物理上和任何设备隔绝,只能光学识别(人眼或者摄像头拍),所以绝对不怕黑客远程操控,但是存在被钓鱼的可能性。
2:其次是招行这样的UKEY,因为要插电脑上所以不能算完全和互联网隔离。所以理论上存在着插上电脑之后被破获密钥的可能性。
3:然后是1的变种,在智能手机上安装一个App来实现1的功能,大大节省成本,安全性能接近方法2. 当然,最好是在未越狱的设备上。虽说不作死不一定就能保证不会死,但是至少概率小很多嘛。
4:短信密码。这种方式的一个前提假设就是,短信动态密码是传播在telecom这个域里面的,和internet这个域是隔离的。但是现在,这道护城河基本已经不存在了。而打通这条护城河的桥梁就是Android手机。Android允许App读取短信,在方便和安全的权衡中倒向了方便。所以黑客完全可以在劫持了Android手机之后截取短信验证码干坏事。这点上Windows Phone最安全,其次是iPhone。WP在不解锁的情况下无论如何备份不出来短信,算是WP的一大卖点吧。

想想这个场景,在Android手机上使用过网银,输入的用户名密码可以被输入法截获发送给坏人,之后的短信验证码可以被恶意App截获然后再转发给坏人。而这些甚至都不需要root就能完成。前者需要一个有"完全的网络访问权限"的输入法, 后者需要一个有"读取您的文字讯息(短信或彩信)"和"完全的网络访问权限"权限的随便什么App,比如SOSO地图/百度地图/图吧/高德/凯立德,连地图软件都对读短信这么感兴趣,这世界在想什么啊。

0 条评论:

发表评论

订阅 博文评论 [Atom]



<< 主页