◇◇新语丝(www.xys.org)(xys8.dxiong.com)(xys.ebookdiy.com)◇◇   如何让你的电子钱包更安全   作者:周服老于   芬兰2016年将允许零售业拒绝现金支付,从而有望成为全球第一家实现货币 电子信息化的国家。现金是不可以加密的,不仅很多人认钱不认人,钱本身也是, 货币电子信息化则可以实现货币加密,让钱认得主人,不仅仅在存储的时候加密, 交易过程也可以加密,理论上可以在全流通过程实现加密。   加密的好处之一是防贼,贼没有认证信息无法使用银行卡,偷得到卡用不到 钱,如此贼也会没有动力来偷;其次是防抢,强盗虽然可以使用暴力手段逼迫受 害者交出认证,但即使拿到认证,在拒绝现金的国家,取现也没法消费,同时转 账又有时间要求,太慢了受害者会改认证信息或挂失银行卡,届时竹篮打水一场 空。   现实世界暴力犯罪因为货币电子信息化会逐渐下降,但因凡事有利必有弊, 信息世界智力犯罪则会呈增长之势。   金融信息犯罪手法多样,贼胆包天的会选择直接攻击金融信息系统漏洞,小 偷小摸的则会向个人账户下手,后者主要实施流程是这样的:首先是偷窃认证, 然后骗过加密系统,最后将钱款悄悄转账至陌生账号,所以如何保护金融认证就 成了账户安全首先要做的事,而认识各种认证的功用和适用范围将有助于用户提 高自己的安全意识和防范技巧。   通常将认证分为3种不同类型,分别是:口令认证,令牌认证和生物信息认 证。   口令认证是最常见的一种信息认证方式,把口令做成密文,就成了密码认证, 口令也有不是密文的吗?当然有。比如触摸屏手机的手势认证,也是一种口令。 其他口令认证手段还有预设问题答案,图形验证码等。密码是静态口令,图形验 证码是动态口令,二者混使用能增加黑客软件破解难度。   金融系统安全性要求高,口令在服务器端都是密文存储的,客户端输入也是 密文显示,所以除非用户自己不小心泄露,其他人是很难获得口令的。这些泄露 的方式包括在取款机,消费场所的Pos机等公共场合输入密码被不法分子偷窥拍 摄,在相对私密场合告知亲朋好友密码不料隔墙有耳被别有用心的人窃听录音, 用通讯软件明文传输密码却不知电脑已被植入木马从而被黑客高手截取存档。所 以为了避免不小心泄露口令,公共场合录入时要注意遮挡,不要大声说密码,特 别不要让小孩子知道,小孩使用父母帐号给游戏充值造成损失经常见诸报端,也 不要用QQ,邮箱,手机短信明文传输密码,若传了则一定立刻删除。   除了不小心泄露口令,用户也要防范犯罪分子钓鱼偷窃帐户密码信息,何谓 钓鱼?既然称为“钓鱼”,当然是先抛出诱饵,骗子先编辑一条有诱惑力的“鱼 饵”信息,信息内容不外乎中奖信息,信用卡账单信息,商城促销,移动电信优 惠活动等,虽然这些信息内容像鱼饵一样五花八门,但是都有一个共同点,那就 是都包含一个网页链接,点了这个链接,有可能被植入木马,也有可能被引导到 一个假的金融网站输入身份证号,卡号或密码。   钓鱼必须要在能上网的设备上才能达到目的,以前都是向用户发邮件,现在 因为智能手机可以上网,向智能手机发短信钓鱼有泛滥的趋势,特别是安全性能 最差的Android手机,最容易中招。避免被钓鱼的最好方法就是手机短信中带的 链接一律不要去点击。   口令在不经意间被窃取,用户不会像被抢劫一样有意识抓紧时间挂失或改口 令,犯罪分子就可以利用信息口令容易复制的弱点,侵入用户金融账户,在麻痹 的时间点,将款项划走。   那有没有不容易复制的认证方式呢?有!令牌认证就是。令牌认证是一种物 质认证方式,认证信息被加密存储在令牌里面,比如银行卡就是一种令牌,一代 银行卡用的是磁条卡,加密信息存储在磁条里面,现在升级为二代IC卡银行卡, IC卡的加密芯片存储的信息量更多,加密更加复杂,更难破解,所以安全性也更 高。可是银行卡需要特定的刷卡设备才能解密,不方便在网上银行上用,市场决 定技术方向,U盾诞生了。U盾不需要特定的解密设备,但是需要特定的解密程序, 为了让浏览器支持这种解密程序,就需要给浏览器安装一个插件,每次转账的时 候,就通过插件触发启动解密程序,查找U盾是否存在,验证U盾是否有效。   U盾在台式电脑上非常好用,可以大大提高安全性,所以在智能手机出现以 前,U盾是实现帐户安全的不二选择。美中不足的是,U盾携带不太方便,现在移 动支付越来越普遍,在智能手机上插个U盾,总有一种多此一举的感觉,为什么 不直接用手机做令牌呢?   前面说了银行卡,U盾的密文是嵌入到硬件里面的,所以验证他们需要预先 在电脑上安装解密程序,手机的密文怎么处理?不好处理,因为如果是密文就必 须对应有解密程序。那是不是手机不可以做令牌了呢?也不是!聪明的程序员设 计了动态随机验证码的方式来验证合法性,这就是我们每次移动支付必须要输入 验证码的原因,主要目的就是验证手机令牌的合法性。   这种解决方案,方便是方便了,但因为是明文验证,给犯罪分子提供了可乘 之机,假设犯罪分子知道了你的手机号,用你的手机登录或修改你的金融帐号密 码,这时候你的手机就会收到一个验证码,提示说有时效限制,比如说3分钟。 因为手机在你手里,犯罪分子看不到,所以他们就打电话给你,以各种理由向你 要验证码,比如谎称他们是公安局的,或者是银行的,你的帐户被人窃取,被封 禁了,现在要验证码才能进行解禁或保护,如果你紧张了,害怕了,信了,给他 念了验证码,则反而帮了犯罪分子的忙,所以凡是遇到这种打电话发短信要验证 码的,一定不能给他,因为这一定是骗子在套取你的手机令牌。   苹果公司为了解决手机令牌的验证难题,率先将生物信息认证集成到了 iPhone 6上,减少了认证步骤,提高了安全性,大受欢迎。   什么叫做生物信息认证?就是将生物的体征提炼成信息,做成密文,预先存 储起来,认证时将密文和实时获得体征信息进行对比的一种认证方式。指纹识别, 脸部识别,眼球识别等都属于生物信息认证,要实现这些认证,就需要预先采集 指纹脸部或眼球信息存储起来,便于认证是比对。   从使用角度来看,口令认证便携但易复制,令牌认证难复制但不便携,生物 信息认证就综合了令牌认证和口令认证的优点,便携但不易复制。   从验证角度来看,口令认证验证的是你知道什么,令牌认证验证的是你拥有 什么,生物信息认证验证的是你是什么。犯罪分子可以化身黑客在网上偷口令, 夜黑风高时潜入你的居所盗令牌,但是不会像孙悟空一样变出一个一样的你。   因为有着无可比拟的优势,未来的认证趋势就是生物信息认证。   芬兰走在了货币电子信息化的前列,为什么其他国家不跟进呢?主要原因是 建设和培训使用这种信息系统成本太高了。芬兰之所以有能力实现货币电子信息 化主要是因为该国人均GDP很高,有足够资金投入建设,同时高达93%的人中学毕 业,其中66%受过高等教育,人们有能力学得会相关软件操作,不需要浪费很多 培训成本。   信息化初级阶段,历来以成本高昂著称,产品贵,人工也贵,正所谓一次投 入,永久受益,后期信息系统的维护不仅成本低廉,而且随着用户使用的越来越 熟练,带来的回报也越来越大。   这就像一个刚开业的超市,大包进货,散落一地,将货物拆包,从混乱无序 的状态中一个个挑出来,排序,上架,摆整齐,是需要付出巨大劳动力,员工需 要流很多的汗水,消耗巨大的热量,然而一旦这个初始化过程完成,后期再对商 品进行补充,挪动,则工作量就大大减少了。   信息系统与此类似,也是将原先无序无组织的事物进行整理,归类,排序, 让它们变得有序有组织,因为初期有巨大信息量需要处理,所以也需要耗费巨大 的能量,一旦初始化完成,后续的增删改操作产生的信息量要小得多,耗费的能 量也就相应的减少了。   像中国这种东西部发展不均衡的国家,想要全国实现货币电子化,估计还有 很长的时间,在这段时间里,自己学会技巧多加注意保护好电子钱包才是正理。 ◇◇新语丝(www.xys.org)(xys8.dxiong.com)(xys.ebookdiy.com)◇◇