没有完美的密码,没有完美的防护
二月末,百度移动搜索和亚马逊服务器先后出现故障,造成短时间内访问瘫痪。岁末年初,京东被曝出12G数据外泄,其中包括用户的用户名、密码、邮箱、电话号码等多维度信息。再往前追溯,2016年已发生多起物联网安全案例,无论是历史最大规模的DDos攻击,还是25000台监控被用来组成僵尸网络事件。
在我们的生活全方位“触网”,个人信息安全难以保障时,围绕个人信息数据形成的黑色产业链却“悄无声息”地运营着。
2015年央视3.15晚会就曾曝光手机实名制形同虚设,运营商成为诈骗电话的幕后推手。此种情况在2016年仍层出不穷。仅仅依靠手机号码,凭借“拖库”、“洗库”、“撞库”等手段,不法分子即可获取数据中个人的身份、住址、家庭关系、经济状况等所有数据,再编两套话术,就可“绝对控制”普通人的生活,并据此进行交易。
《中国网民权益保护调查报告(2016)》显示,一年的时间,国内网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。其中,9%的网民由于各类权益侵害造成的经济损失在1000元以上。
36氪日前的3.15用户体验调查数据也侧面反映了目前网络信息安全现状。59.2%的受访用户信息泄露后遇到过广告推销等骚扰类电话、邮件、短信;36.6%的人遇到过中奖等诈骗类电话;4.2%的受访用户人身安全曾因信息泄露而受到威胁。
“个人信息安全的保护意识人人都有,但却架不住诈骗者的‘使诈’。”上海市信息安全行业协会会长,众人科技创始人谈剑峰举例,一个人打电话说“你犯事儿了”,普通人都会觉得对方是骗子,但如果对方继而爆出你的家庭信息,并且开始“娓娓道来”时,我们都会思考“我是不是真犯事儿了”,此时,已经落入骗子的圈套。
无论是“拖库”、“洗库”、“撞库”等黑客攻击手段,还是随机诈骗的伎俩,从技术角度看,皆是信息安全的第一道“门”——身份认证被攻破,即核心密码失灵。用户个人信息一旦泄露,在支付的关键环节,身份认证方法是否可靠,将直接关系到用户资金安全。
“我们正在因为支付的便捷性丧失交易的安全性。”谈剑峰表示,不少用户为了方便记忆,在许多账户中都是用一个密码。“邮箱、支付、游戏等各种场景的密码都一样。一旦其中一个泄露,黑客通过‘撞库’,其它的密码则‘不解自破’。”
“足够便捷”与“足够安全”如何兼得?在我们的调查中,“网购、支付”和“外卖、快递”被受访用户同时票选为最易泄露个人信息的场景,各占22.5%;“买房、买车”这一场景被票选的比例为20.5%;15.2%的受访用户认为社交、游戏场景泄露个人信息可能性较大;其它还有“移动出行”场景(11.3%)和“看新闻,浏览网页”等场景(7.9%)有泄露个人信息的可能。
谈剑峰表示,在我国互联网业态的各种场景中,金融支付场景信息泄露的情况较为突出。“信用卡普遍使用的今天,一些国外海淘网站为方便用户,会帮助记录信用卡的信息,不法分子仅凭信用卡号和有效期就可以支付,相当于自己写字的纸笔掌握在了别人手里。”谈剑峰强调,我们在交易过程中享受了便捷性,却因此丧失了安全。
即使诸如最新被广泛使用的生物识别,动态验证码等安全技术也存在潜在漏洞。
“生物特征看似方便,在互联网上应用却最不安全。”谈剑峰告诉记者,不安全的原因最核心的一点是其“不可再生性”。“我们想象着每个人的长相不一样,不可复制。但在网络世界里,生物特征背后就是0和1的数字。只要转化为0和1的数字,它就可能被截获、被重放、被重构。”
“根据我们近十年的网络信息安全技术研发经验来说,只有经常修改密码才是有效应对账户被盗风险的方式。”他指出,生物识别技术不适合在互联网上传输使用,而是适用于本地化使用,比如家庭门禁系统、金库的门禁安保系统。
然而在调查中,只有40.5%的受访用户在遭遇信息泄露之后,有过修改密码之类的行为。当便捷性与安全性相矛盾时,很少有人意识到问题的严重性而采取有效措施。
随着互联网技术的不断发展,移动支付安全更成为了“悬梁之剑”。在满足便捷需求的同时,保障移动支付安全是谈剑峰和众人科技一直以来的不懈追求。众人科技在网络安全领域深耕长达十年,除参与推动、制定国产信息安全标准外,不断更新升级自主研发、自主可控的核心技术。近年来,面对移动支付出现的问题,众人科技发明了自主专利的创新密码技术—SOTP(Super One-Time-Password),即可重构多因素动态认证技术。
说白了,就是用户在网上的信息是虚拟的。比如绑定的银行卡号是随着时间、网络环境等因素实时变化。真实的卡号只在银行系统中才被还原,这样避免个人银行卡信息泄露后出现网络盗刷的可能。
在谈剑峰看来,普通用户寻找的是一种安全“感”。当商家或交易平台给用户营造出一种安全感觉,用户就会觉得这样的支付手段或密码防护是安全的,继而一直使用。比如手机短信验证码,现在事实证明并不安全,可是用户感觉上既便捷又安全。
信息泄露风险与安全性相交织在一起时,86.1%受访用户会一边担心着信息泄露,一边不得不进行网上交易;2.3%受访用户曾因担心信息泄露而放弃网上交易;只有11.6%受访用户不在乎或者不了解网上交易的潜在风险。
对此,谈剑峰强调SOTP是移动互联时代可以有效兼顾便捷性和安全性的密码技术。“目前的常规密码保护技术存在系统性风险。一个密码破了,与其相关的整个系统都有被破的风险。”相比之下,SOTP技术几乎没有系统性风险。谈剑峰强调,即使单点破了,也只是针对一个人的密码破了,对系统中其他用户不会造成任何影响。 “这是SOTP最大的特点之一”。
目前,SOTP技术已广泛应用于政府、金融等安全场景。去年,公安部与众人科技携手,在eID作为网络身份的一级信任源的基础上,使用SOTP作为二级身份认证防护技术,满足用户不同应用场景和不同安全等级的认证服务需求。
而西安银行与众人科技合作推出的创新型移动安全产品“@盾”,使金融交易场景既便捷时也更安全。谈剑峰介绍,用户安装“@盾”相当于在手机银行中置入隐形的硬件认证机制,交易过程中自动开启保护屏障,无需接收短信验证码,输入用户自己设定的密码便可轻松完成交易。“即使不法分子破解了手机银行密码,在交易时‘@盾’检测到不是绑定设备,将直接中断交易。”
对于信息安全防护,除了技术防范手段之外,更需要一套应对的组合拳。
对此,谈剑峰对普通用户的建议是在修改账户密码的同时,控制银行卡金额,不乱点各种渠道转发的链接。而对于互联网企业来说,应规范其采集数据的标准,并需有效的保障所采集数据存储的安全性。“现在一些互联网企业采集数据更多的是为了融资。因为投资人要看数据,看你的用户量有多少,数据有多少。一些防范意识差、无力研发或采购安全技术和产品的互联网企业对这些数据完全没有保护措施,就相当于你的个人信息在网上‘裸奔’,而且还在拼命奔。”
即将于今年6月1日起施行的《网络安全法》已聚焦个人信息保护。从收集、使用、管理等角度明确了网络产品服务提供者、运营者的责任,严厉打击出售、贩卖个人信息的行为。谈剑峰认为,国家已在法律层面明确了互联网企业的社会责任:应有基本安全防范意识,同时不能恶意收集用户信息,滥用用户数据。
“沉下心来进行核心技术的研发、在技术上不断创新,才是我们应该追求的未来创业的方向。”谈剑峰说道。
http://jinglilai.51pla.com/