今天,民用的网络应用越来越多,越来越多的网络应用渗透到百姓生活的方方面面,但给人们的感觉就是网络应用也越来越不安全,你不知道什么时候会掉到一个“坑”中。
以下三点或许能帮你揭开网络应用越来越多又越来越不安全的主要原因:
1) 具中国互联网络信息中心(CNNIC)最新发布的《中国互联网络发展状况统计报告》显示,截至2017年12月,中国网民规模已达7.72亿,手机网民规模达7.53亿。
2) 今天越来越多的应用或服务是通过输入“用户名+密码”或输入“密码”的形式实现。现在一个人最少要记住11个账号,20个密码(见表1),如果这个人再有一个股票账户,则需要记住12个账号,23个密码(见表2)。如果每一个用户名对应的密码都不同,则单单只记住这11个账号和20密码(或12个账号和23个密码)的对应关系,对于7亿多网民中的绝大数,就是一个巨大且不可完成的挑战。对于绝大多数网民而言,只能有效、长时间的记住有限几个密码。这样用2-4个能记得住的密码打天下,也就成了这些人的唯一选择。对于不常用的密码,将密码写着纸上、卡上或用特殊数字作为密码,就又成了唯一的选择。
3) 在今天网民人手一部手机的情况下,越来越多的网络应用服务,或将手机号直接作为用户注册的账号号码使用,或提供用户用绑定的电话号码进行登录的选项。而这又是网络应用服务商为应对绝大多数网民根本无法记住最少11个账号,所不得不采取的不耐之策。更为变态(注1)的是,又有相当多的网络应用,不知从什么时间开始,听从了不知是哪个网络安全“砖家”的建议,在用户注册时的设定密码环节,实行了“强制要求用户设定的密码最少要8位,且必须最少是“字母+数字”的混合数据串”设置规范。
以上三点对于一个以获取“用户名+密码”为目的的黑客而言意味着什么?第1点意味着可供他发掘的“矿山”越来越大,第2、3两点意味着,在这越来越大的“矿山”中,挖到“宝”的概率越来越大,效率越来越高。对于被盗用户而言,他会感到账号被盗情形的越来越莫名其妙、越来越防不胜防,也越来越诡异。而对于负有破案职责的警察叔叔而言,破单个账号被盗案的难度越来也大,而要破往往就是一破一串。
对于越来越不安全的网络应用的应用软环境,难道就没有有效的防御之道吗?
表1:最低配置下所需要记住的用户名、密码
| 需要密码的项目 |
账号数 |
密码数 |
说明 |
| 银行卡 |
3 |
6 |
Ⅰ、Ⅱ、Ⅲ类卡各一张,每个卡各设一个查询密码,一个取款密码。 |
| 电话银行 |
1 |
1 |
|
| 网银 |
1 |
2 |
只在一家银行开户、开卡。用U盾,U盾有开机密码 |
| 手机 |
1 |
开机密码,且只有1个手机 |
|
| 电脑 |
2 |
开机密码一个,屏保密码一个,且之有一台电脑。 |
|
| 私人邮箱 |
1 |
1 |
只有一个私人邮箱。 |
| 微信 |
1 |
2 |
登录密码,支付密码 |
| 支付宝 |
1 |
2 |
登录密码,支付密码 |
| 游戏 |
1 |
1 |
只玩一个游戏 |
| 办公软件 |
1 |
1 |
|
| 办公用邮箱 |
1 |
1 |
表2:有炒股的最低配置下所需要记住的用户名、密码
| 需要密码的项目 |
账号数 |
密码数 |
说明 |
| 银行卡 |
3 |
6 |
Ⅰ、Ⅱ、Ⅲ类卡各一张,每个卡各设一个查询密码,一个取款密码。 |
| 电话银行 |
1 |
1 |
|
| 网银 |
1 |
2 |
只在一家银行开户、开卡。用U盾,U盾有开机密码 |
| 手机 |
1 |
开机密码,且只有1个手机 |
|
| 电脑 |
2 |
开机密码一个,屏保密码一个,且之有一台电脑。 |
|
| 股票 |
1 |
3 |
登录密码1个,银行转证券密码1个,证券转银行密码1个 |
| 私人邮箱 |
1 |
1 |
只有一个私人邮箱。 |
| 微信 |
1 |
2 |
登录密码,支付密码 |
| 支付宝 |
1 |
2 |
登录密码,支付密码 |
| 游戏 |
1 |
1 |
只玩一个游戏 |
| 办公软件 |
1 |
1 |
|
| 办公用邮箱 |
1 |
1 |
注1:
之所以说“强制要求用户设定的密码最少要8位,且必须最少是“字母+数字”的混合数据串”这样的要求是一个变态的要求,是因为这个密码设置要求,一定是听从了最近在官方正规媒体上经常能听到的网络安全保护秘籍“设置密码时要尽量的长且复杂一点”的“砖家”建议。而这个建议很显然忽略了两点:1)对盗号病毒而言,1位长度的密码和100位长度的密码,哪怕你就是1000位,盗取难度都是一样的。2)对7、8亿最少需要记住20个密码的广大网民中的绝大多数人而言,密码长度越长、越复杂,能记住的密码个数就越少,这样一个密码涵盖多个网络应用也就成了广大网民朋友的一个无奈的选择。这样对于密码被盗的用户而言,发现密码被盗后,可修改的空间就越少。而对于“撞库”盗号的方法而言,“撞库”成功的效率就越高。其最终的结果是想安全,反而更不安全。这样的建议,难道不是“砖家的建议”那又能是什么?准确的讲,这个“砖家建议”,对一个网民而言,并不能给他“账号+密码”的安全提供任何一点帮助,反而为以盗取“用户名+密码”为目标的黑客而言,给了些许扩大“战果”的便利性帮助。这就是“网络诈骗”升级到3.0版(非接触式网络诈骗)重要原因,而“盗号病毒”、“撞库”,就是这3.0版网络诈骗的重要工具。而“砖家”建议恰恰助推了这两个工具的效力发挥。