亚洲欧美日韩狼人射_在线精品免费看国产_中文字幕日本免费视片_少妇人妻无码高清

×

網(wǎng)站建設(shè)

當(dāng)前位置:首頁 > 龍鼎新聞 > 行業(yè)新聞 >

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么

作者:龍鼎網(wǎng)絡(luò)發(fā)布時間:2015-07-23 16:13:38瀏覽次數(shù):15386文章出處:晉城自適應(yīng)網(wǎng)站制作

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  還有比數(shù)字密碼更保險的東西嗎?為了更安全,我們在不斷復(fù)雜化密碼:數(shù)字、大小字母、下劃線、八位以上等等。而且,為了更安全,不同的網(wǎng)站要有不同的賬戶和密碼,比如,我的支付寶支付密碼十四位,我的p2p理財網(wǎng)站的密碼16位。我的工商銀行,有網(wǎng)銀密碼,數(shù)字移動證書密碼,結(jié)果老是記混,從5月中旬因?yàn)檫B續(xù)輸錯多次密碼,那張工行卡一直被凍結(jié),到現(xiàn)在還沒來得及解凍。

  但是,如此考驗(yàn)記憶能力、用戶體驗(yàn)如此不好的數(shù)字密碼,真的是絕對安全么?答案當(dāng)然是否定的,當(dāng)攜程被黑之后,人們擔(dān)心信用卡信息會泄露。

  其實(shí),無論是黑客還是安全專家,都相信,數(shù)字密碼即將過時了,取代它的是什么?到那個時候,你的支付寶和網(wǎng)銀會更安全嗎?

  黑客如何入侵

  先來看看,黑客是如何攻陷網(wǎng)站和用戶賬號的。

  斗象科技聯(lián)合創(chuàng)始人兼COO謝忱,作為白帽黑客,深諳黑客圈的秘密,他公司旗下的Freebuf.com是國內(nèi)最大的安全社區(qū)和新媒體。根據(jù)謝忱的介紹,互聯(lián)網(wǎng)攻擊主要分為以下幾種。

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  第一,以癱瘓目標(biāo)為目的DDOS攻擊和DNS劫持。

  拿煎餅攤舉例。DDOS攻擊就是東頭的煎餅攤攻擊西頭的O2O煎餅攤,你不是可以網(wǎng)上下單么,我訂他200個,不去取煎餅,沖垮你?;氐骄€上就是,A網(wǎng)站到B網(wǎng)站發(fā)起超出他常規(guī)訪問量的這種流量過去,B網(wǎng)站可能平常沒有接受這么大訪問量,所以癱瘓。

  DNS劫持,就是路人甲想去西頭的O2O煎餅攤,結(jié)果你和他說,這個煎餅攤在東邊。意思是你原本要打開A網(wǎng)站,結(jié)果跳到了B網(wǎng)站。上面講到的2種攻擊方式,去年就被各大黑客組織用得很普遍。

  而針對黑客的防御方式,有各種驗(yàn)證碼,比如:

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  如果是這個驗(yàn)證碼,那真是足夠安全了。但是這種驗(yàn)證碼或許只適合數(shù)學(xué)教授。

  因此,考慮到用戶的傻瓜體驗(yàn),驗(yàn)證碼不能這么復(fù)雜。常見的是各種數(shù)字、字母、漢字密碼,還可能是個加減乘除的算術(shù)題等等。

  這里有個變化過程。最開始,驗(yàn)證碼是字母,很快黑客破掉了;后來數(shù)字,又被破,再后來數(shù)字加字母,增強(qiáng)了識別圖像的破解難度?,F(xiàn)在,還發(fā)展到圖形之間的連接,做圖像識別的都知道,有鏈接點(diǎn),識別難度就會大大增強(qiáng)。另外你有沒有發(fā)現(xiàn)淘寶網(wǎng)站的驗(yàn)證碼都歪歪扭扭的,也是為了增加辨識的難度。

  所以,攻防之間是永遠(yuǎn)不停息地對抗博弈,防守也在不斷進(jìn)步,而黑客也并非大家想象得上天入地?zé)o所不能。

  第二類,以盜信息為目的攻擊。

  黑客想盜取你的帳號,可以通過很多方式把信息串聯(lián)起來,比如說在找工作網(wǎng)站找到就業(yè)信息,在婚戀網(wǎng)站找到家庭信息、情感狀況,再通過購票網(wǎng)站找身份證,最后把這些信息全部拼湊在一起,關(guān)聯(lián)起來盜號。

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  此外,由于很多小伙伴習(xí)慣于在不同的網(wǎng)站使用同一賬號和密碼,因此被破解成功后危險性更大。此次攜程被黑,很多用戶會擔(dān)心信用卡賬戶會被盜刷。

  第三,以入侵為目的的攻擊。

  一些匿名的黑客組織,號稱是全美帝甚至是國際級的黑客組織。但是,黑客攻擊,并非大家想象得這么容易。無論是黑一個網(wǎng)站也好,還是黑一個目標(biāo)人,其實(shí)難度都不小。之前號稱有國際組織要黑中國的網(wǎng)站,吹噓得很厲害,其實(shí),這個組織最終入侵成功的網(wǎng)站,都是什么鄉(xiāng)什么縣的地域性小網(wǎng)站,常年無人維護(hù),安全防護(hù)措施約等于無,入侵門檻較低。

  如何干掉黑客

  1,拋棄筑城墻思維,立體防控

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  2、利用好大數(shù)據(jù),黑客可運(yùn)用各個網(wǎng)站的東西把人的信息關(guān)聯(lián)起來,實(shí)施定向打擊,防御者也需要用大數(shù)據(jù)回?fù)?。比如A網(wǎng)站獲得所有攻擊者IP地址,B網(wǎng)站也有這些信息,通過建立共享平臺,共享數(shù)據(jù)庫,以后這些黑客在攻擊的時候可以匹配出他的歷史和蹤跡,他利用什么攻擊手段,可以給這個IP打上壞人的標(biāo)簽。

  3、新防御手段技術(shù)革命。下面這些都是很好的嘗試:

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  拋棄數(shù)字密碼

  說了這么多,其實(shí)用戶之所以擔(dān)心密碼被盜,第一是怕泄露個人隱私,第二怕錢財丟失。由于數(shù)字密碼存在泄漏的可能,因此數(shù)字密碼并不絕對安全,而未來通過大數(shù)據(jù)、生物識別等手段,數(shù)字密碼將會被逐步取代丟棄。

  支付寶早早就在進(jìn)行嘗試了,根據(jù)支付寶目前的技術(shù),就算你的數(shù)字密碼被盜了,錢幾乎也不會被取走,這不是科幻,這是科學(xué)。

  雖然表面上,支付寶登錄的時候,其安全屏障,在用戶前端,只是一串?dāng)?shù)字密碼,但是背后卻有個神奇的風(fēng)控大腦。

  這個風(fēng)控大腦的邏輯是“認(rèn)人,而不只是識別數(shù)字密碼”。認(rèn)人的意思是說:就用黑客盜走了用戶的密碼,但是盜了密碼,還是拿不走錢!因?yàn)檫@把鎖,只認(rèn)主人,主人開,我就放行,不是主人在開,你就goaway。如果拿不準(zhǔn)是不是主人,就會通過再次校驗(yàn)的方式,來判斷是否是主人。

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  聽上去很智能吧,其實(shí),支付寶訓(xùn)練這個風(fēng)控大腦已經(jīng)8年多了。具體來說,這個大腦會根據(jù)一些維度來做判斷并打分,分?jǐn)?shù)在0-1之間,打分高,說明風(fēng)險系數(shù)比較高。這個風(fēng)控大腦的打分因素包括:賬戶、設(shè)備、位置、行為、關(guān)系、偏好等因素,每一個大類里面都會包含很多細(xì)的策略,而這樣的策略總計有10000條左右。不過,風(fēng)控大腦運(yùn)算這些復(fù)雜策略的時間很快,平均為0.15秒,所以用戶基本上是無感知的。

  具體的打分模型如下:

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  比如說:行為維度。每個人都會有自己的習(xí)慣,比如走路姿勢和筆跡。支付寶的風(fēng)控大腦策略就是:每個人觸控手機(jī)屏幕的方式不同,而手機(jī)上是有很多傳感器的。所以可以通過指壓、接觸面積、重力變化,連續(xù)間隔時間等,可以幫助判斷是否是主人操作。國外實(shí)驗(yàn)室測算,這種技術(shù)能讓判斷風(fēng)險的成功率提升7倍,支付寶大概提升了5倍。

  再比如說:關(guān)系維度。一個黑客,來偷用戶的賬戶,然后把錢轉(zhuǎn)到另一個賬戶。如果這個賬戶和你從未有過資金往來,和你的朋友們也沒有過資金往來,CTU就會提高警覺了,如果這個賬戶是曾經(jīng)有過不良記錄的,或者和黑名單賬戶有過某些交集,CTU很大程度就會攔截,因?yàn)樗?,這估計不是主人在操作。

  當(dāng)然了,根據(jù)六度人際理論,通過六個人,你就能認(rèn)識全世界的人,而網(wǎng)路上的人際關(guān)系自然也錯綜復(fù)雜,這就需要強(qiáng)大的關(guān)系數(shù)據(jù)收集和分析能力。網(wǎng)絡(luò)上的人際關(guān)系示意圖如下:

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  圖文是不是看起來有點(diǎn)暈,其實(shí)舉例就很容易說清楚了。有個深圳的支付寶用戶,經(jīng)常購買理財產(chǎn)品,平時用的是ios操作系統(tǒng)。2014年 ,該用戶接收了偽基站10086的短信,主動輸入了身份證信息和銀行卡信息,并中手機(jī)木馬。

  當(dāng)日深夜,騙子結(jié)合上述信息,成功獲取校驗(yàn)碼后修改登錄密碼,并在廣州某小區(qū)登陸,之后又修改支付密碼。接著,得意洋洋下單一臺iphone5,打算用別人的錢,給自己換手機(jī)。

  沒想到,風(fēng)控大腦直接判定交易失敗,并對賬戶進(jìn)行了限制。第二天,支付寶客服給用戶打電話,確認(rèn)用戶賬戶是被盜了,并引導(dǎo)其重置密碼。

  為什么這個騙子盜取了數(shù)字密碼,卻沒偷到錢,是因?yàn)橹Ц秾毜娘L(fēng)控系統(tǒng)經(jīng)過分析,認(rèn)為其操作行為可疑,風(fēng)險評分太高超過了安全線!

  首先,登陸的設(shè)備不是主人的日常設(shè)備,登陸地點(diǎn)不在深圳,而在廣州某小區(qū),風(fēng)控大腦已經(jīng)開始警覺。接著,對于修改密碼的行為,風(fēng)控大腦很困惑,一個經(jīng)常購買理財產(chǎn)品,經(jīng)常輸入密碼的人,深更半夜去修改密碼干嘛,一般修改密碼都是密碼忘記了,要找回密碼才會重置嘛。最后,主人平時主要就是理財,極少淘寶,大半夜的,改了密碼就直奔瘋5,這非常違背常理,所以,阻止資金流出。

數(shù)字密碼將死,還敢用支付寶網(wǎng)銀么,龍鼎網(wǎng)絡(luò)

  從上面這個案例可以看出,支付寶風(fēng)控大腦的打分,會綜合考慮多種因素,而不會根據(jù)某一個單項(xiàng)來,因?yàn)閱雾?xiàng)不足以說明問題,比如設(shè)備,那主人換一個設(shè)備去使用支付寶也是很有可能的。

  盡管支付寶的風(fēng)控大腦如此高科技,為啥支付寶還有被盜發(fā)生?

  首先,被盜不代表資金損失,像上面的案例,被盜了,錢還在。

  第二,最終產(chǎn)生資金損失,雖然這個概率很低,大概是1/100萬,原因有兩大類:世上總有些很巧合的事情,在行為習(xí)慣,偏好,位置等等很多方面,壞人和你都極其吻合,導(dǎo)致CTU沒能發(fā)現(xiàn),風(fēng)險評分不夠高。

  不過,更多的是,CTU發(fā)現(xiàn)了,但分?jǐn)?shù)沒有高到直接判定失敗,而是處于疑惑階段,它輸出了二次校驗(yàn)的方式,可惜,用戶再次泄露了校驗(yàn)信息,所以打死別把校驗(yàn)碼給人。

  說到校驗(yàn),短信校驗(yàn)(短信驗(yàn)證碼)是最常見的,不過,以后這會被更多的校驗(yàn)方式逐步取代,因?yàn)檫€有更多不易被泄露或者截取,安全性更高的校驗(yàn)方式。

  比如說,系統(tǒng)會問你,以下哪個商品,是你最近購買過的,這個壞人很難知道了。比如當(dāng)你在新的設(shè)備登陸微信時,微信會讓你在一堆頭像中選出微信好友。再比如說,別輸入短信校驗(yàn)碼了,來刷個臉吧,壞人總不至于把你拉過去做人臉識別吧。

  總之,安全分為系統(tǒng)安全、產(chǎn)品安全(也就是前端可見的很多東西,比如密碼,各類驗(yàn)證等),還有后臺實(shí)時監(jiān)控的安全防范體系。未來的趨勢是,逐步把精力放在后臺安全,通過生物識別和大數(shù)據(jù)的方式來保證安全。而用戶需要做的事情可以最少,甚至有一天,用戶壓根可以不需要記住數(shù)字字母密碼,因?yàn)檫@把鎖足夠聰明,它知道開鎖的是不是主人。你本人就是密碼本身了,這是包括螞蟻金服在內(nèi)互聯(lián)網(wǎng)公司努力的方向。

  只有這樣,在新環(huán)境下,才能提高安全性能,同時也是讓用戶體驗(yàn)做到極簡友好。安全可靠和用戶體驗(yàn)這對矛盾體,能夠盡可能平衡。

  不過,為什么到現(xiàn)在,指紋識別的密碼還沒有普及呢?支付寶人士說,主要是目前支持指紋識別的手機(jī)并不是特別多,只有蘋果、三星和華為的某些高端機(jī)型才有此功能,而且指紋識別的準(zhǔn)確度也需要進(jìn)一步提高。

  現(xiàn)在問題來了,如果以后不用數(shù)字密碼了,你也不用操心費(fèi)力記那一堆數(shù)字了,那時候,你還敢不敢使用支付寶和網(wǎng)銀呢,我猜,你敢。

晉城龍鼎 - 晉城網(wǎng)站建設(shè)為您解答!

客戶評價

專業(yè)的網(wǎng)站建設(shè)、響應(yīng)式、手機(jī)站微信公眾號開發(fā)

© 2010-2020 龍鼎網(wǎng)絡(luò) 版權(quán)所有 晉ICP備14008335號-1

注冊號:140502200020561

公眾號 微信聯(lián)系

手機(jī)版 進(jìn)入手機(jī)版