還有比數(shù)字密碼更保險(xiǎn)的東西嗎?為了更安全，我們?cè)诓粩鄰?fù)雜化密碼：數(shù)字、大小字母、下劃線、八位以上等等。而且，為了更安全，不同的網(wǎng)站要有不同的賬戶和密碼，比如，我的支付寶支付密碼十四位，我的p2p理財(cái)網(wǎng)站的密碼16位。我的工商銀行，有網(wǎng)銀密碼，數(shù)字移動(dòng)證書密碼，結(jié)果老是記混，從5月中旬因?yàn)檫B續(xù)輸錯(cuò)多次密碼，那張工行卡一直被凍結(jié)，到現(xiàn)在還沒來得及解凍。

　　但是，如此考驗(yàn)記憶能力、用戶體驗(yàn)如此不好的數(shù)字密碼，真的是絕對(duì)安全么?答案當(dāng)然是否定的，當(dāng)攜程被黑之后，人們擔(dān)心信用卡信息會(huì)泄露。

　　其實(shí)，無論是黑客還是安全專家，都相信，數(shù)字密碼即將過時(shí)了，取代它的是什么?到那個(gè)時(shí)候，你的支付寶和網(wǎng)銀會(huì)更安全嗎?

　　黑客如何入侵

　　先來看看，黑客是如何攻陷網(wǎng)站和用戶賬號(hào)的。

　　斗象科技聯(lián)合創(chuàng)始人兼COO謝忱，作為白帽黑客，深諳黑客圈的秘密，他公司旗下的Freebuf.com是國內(nèi)最大的安全社區(qū)和新媒體。根據(jù)謝忱的介紹，互聯(lián)網(wǎng)攻擊主要分為以下幾種。

　　第一，以癱瘓目標(biāo)為目的DDOS攻擊和DNS劫持。

　　拿煎餅攤舉例。DDOS攻擊就是東頭的煎餅攤攻擊西頭的O2O煎餅攤，你不是可以網(wǎng)上下單么，我訂他200個(gè)，不去取煎餅，沖垮你?；氐骄€上就是，A網(wǎng)站到B網(wǎng)站發(fā)起超出他常規(guī)訪問量的這種流量過去，B網(wǎng)站可能平常沒有接受這么大訪問量，所以癱瘓。

　　DNS劫持，就是路人甲想去西頭的O2O煎餅攤，結(jié)果你和他說，這個(gè)煎餅攤在東邊。意思是你原本要打開A網(wǎng)站，結(jié)果跳到了B網(wǎng)站。上面講到的2種攻擊方式，去年就被各大黑客組織用得很普遍。

　　而針對(duì)黑客的防御方式，有各種驗(yàn)證碼，比如：

　　如果是這個(gè)驗(yàn)證碼，那真是足夠安全了。但是這種驗(yàn)證碼或許只適合數(shù)學(xué)教授。

　　因此，考慮到用戶的傻瓜體驗(yàn)，驗(yàn)證碼不能這么復(fù)雜。常見的是各種數(shù)字、字母、漢字密碼，還可能是個(gè)加減乘除的算術(shù)題等等。

　　這里有個(gè)變化過程。最開始，驗(yàn)證碼是字母，很快黑客破掉了;后來數(shù)字，又被破，再后來數(shù)字加字母，增強(qiáng)了識(shí)別圖像的破解難度。現(xiàn)在，還發(fā)展到圖形之間的連接，做圖像識(shí)別的都知道，有鏈接點(diǎn)，識(shí)別難度就會(huì)大大增強(qiáng)。另外你有沒有發(fā)現(xiàn)淘寶網(wǎng)站的驗(yàn)證碼都歪歪扭扭的，也是為了增加辨識(shí)的難度。

　　所以，攻防之間是永遠(yuǎn)不停息地對(duì)抗博弈，防守也在不斷進(jìn)步，而黑客也并非大家想象得上天入地?zé)o所不能。

　　第二類，以盜信息為目的攻擊。

　　黑客想盜取你的帳號(hào)，可以通過很多方式把信息串聯(lián)起來，比如說在找工作網(wǎng)站找到就業(yè)信息，在婚戀網(wǎng)站找到家庭信息、情感狀況，再通過購票網(wǎng)站找身份證，最后把這些信息全部拼湊在一起，關(guān)聯(lián)起來盜號(hào)。

　　此外，由于很多小伙伴習(xí)慣于在不同的網(wǎng)站使用同一賬號(hào)和密碼，因此被破解成功后危險(xiǎn)性更大。此次攜程被黑，很多用戶會(huì)擔(dān)心信用卡賬戶會(huì)被盜刷。

　　第三，以入侵為目的的攻擊。

　　一些匿名的黑客組織，號(hào)稱是全美帝甚至是國際級(jí)的黑客組織。但是，黑客攻擊，并非大家想象得這么容易。無論是黑一個(gè)網(wǎng)站也好，還是黑一個(gè)目標(biāo)人，其實(shí)難度都不小。之前號(hào)稱有國際組織要黑中國的網(wǎng)站，吹噓得很厲害，其實(shí)，這個(gè)組織最終入侵成功的網(wǎng)站，都是什么鄉(xiāng)什么縣的地域性小網(wǎng)站，常年無人維護(hù)，安全防護(hù)措施約等于無，入侵門檻較低。

　　如何干掉黑客

　　1，拋棄筑城墻思維，立體防控

　　2、利用好大數(shù)據(jù)，黑客可運(yùn)用各個(gè)網(wǎng)站的東西把人的信息關(guān)聯(lián)起來，實(shí)施定向打擊，防御者也需要用大數(shù)據(jù)回?fù)?。比如A網(wǎng)站獲得所有攻擊者IP地址，B網(wǎng)站也有這些信息，通過建立共享平臺(tái)，共享數(shù)據(jù)庫，以后這些黑客在攻擊的時(shí)候可以匹配出他的歷史和蹤跡，他利用什么攻擊手段，可以給這個(gè)IP打上壞人的標(biāo)簽。

　　3、新防御手段技術(shù)革命。下面這些都是很好的嘗試：

　　拋棄數(shù)字密碼

　　說了這么多，其實(shí)用戶之所以擔(dān)心密碼被盜，第一是怕泄露個(gè)人隱私，第二怕錢財(cái)丟失。由于數(shù)字密碼存在泄漏的可能，因此數(shù)字密碼并不絕對(duì)安全，而未來通過大數(shù)據(jù)、生物識(shí)別等手段，數(shù)字密碼將會(huì)被逐步取代丟棄。

　　支付寶早早就在進(jìn)行嘗試了，根據(jù)支付寶目前的技術(shù)，就算你的數(shù)字密碼被盜了，錢幾乎也不會(huì)被取走，這不是科幻，這是科學(xué)。

　　雖然表面上，支付寶登錄的時(shí)候，其安全屏障，在用戶前端，只是一串?dāng)?shù)字密碼，但是背后卻有個(gè)神奇的風(fēng)控大腦。

　　這個(gè)風(fēng)控大腦的邏輯是“認(rèn)人，而不只是識(shí)別數(shù)字密碼”。認(rèn)人的意思是說：就用黑客盜走了用戶的密碼，但是盜了密碼，還是拿不走錢!因?yàn)檫@把鎖，只認(rèn)主人，主人開，我就放行，不是主人在開，你就goaway。如果拿不準(zhǔn)是不是主人，就會(huì)通過再次校驗(yàn)的方式，來判斷是否是主人。

　　聽上去很智能吧，其實(shí)，支付寶訓(xùn)練這個(gè)風(fēng)控大腦已經(jīng)8年多了。具體來說，這個(gè)大腦會(huì)根據(jù)一些維度來做判斷并打分，分?jǐn)?shù)在0-1之間，打分高，說明風(fēng)險(xiǎn)系數(shù)比較高。這個(gè)風(fēng)控大腦的打分因素包括：賬戶、設(shè)備、位置、行為、關(guān)系、偏好等因素，每一個(gè)大類里面都會(huì)包含很多細(xì)的策略，而這樣的策略總計(jì)有10000條左右。不過，風(fēng)控大腦運(yùn)算這些復(fù)雜策略的時(shí)間很快，平均為0.15秒，所以用戶基本上是無感知的。

　　具體的打分模型如下：

　　比如說：行為維度。每個(gè)人都會(huì)有自己的習(xí)慣，比如走路姿勢(shì)和筆跡。支付寶的風(fēng)控大腦策略就是：每個(gè)人觸控手機(jī)屏幕的方式不同，而手機(jī)上是有很多傳感器的。所以可以通過指壓、接觸面積、重力變化，連續(xù)間隔時(shí)間等，可以幫助判斷是否是主人操作。國外實(shí)驗(yàn)室測(cè)算，這種技術(shù)能讓判斷風(fēng)險(xiǎn)的成功率提升7倍，支付寶大概提升了5倍。

　　再比如說：關(guān)系維度。一個(gè)黑客，來偷用戶的賬戶，然后把錢轉(zhuǎn)到另一個(gè)賬戶。如果這個(gè)賬戶和你從未有過資金往來，和你的朋友們也沒有過資金往來，CTU就會(huì)提高警覺了，如果這個(gè)賬戶是曾經(jīng)有過不良記錄的，或者和黑名單賬戶有過某些交集，CTU很大程度就會(huì)攔截，因?yàn)樗溃@估計(jì)不是主人在操作。

　　當(dāng)然了，根據(jù)六度人際理論，通過六個(gè)人，你就能認(rèn)識(shí)全世界的人，而網(wǎng)路上的人際關(guān)系自然也錯(cuò)綜復(fù)雜，這就需要強(qiáng)大的關(guān)系數(shù)據(jù)收集和分析能力。網(wǎng)絡(luò)上的人際關(guān)系示意圖如下：

　　圖文是不是看起來有點(diǎn)暈，其實(shí)舉例就很容易說清楚了。有個(gè)深圳的支付寶用戶，經(jīng)常購買理財(cái)產(chǎn)品，平時(shí)用的是ios操作系統(tǒng)。2014年 ，該用戶接收了偽基站10086的短信，主動(dòng)輸入了身份證信息和銀行卡信息，并中手機(jī)木馬。

　　當(dāng)日深夜，騙子結(jié)合上述信息，成功獲取校驗(yàn)碼后修改登錄密碼，并在廣州某小區(qū)登陸，之后又修改支付密碼。接著，得意洋洋下單一臺(tái)iphone5，打算用別人的錢，給自己換手機(jī)。

　　沒想到，風(fēng)控大腦直接判定交易失敗，并對(duì)賬戶進(jìn)行了限制。第二天，支付寶客服給用戶打電話，確認(rèn)用戶賬戶是被盜了，并引導(dǎo)其重置密碼。

　　為什么這個(gè)騙子盜取了數(shù)字密碼，卻沒偷到錢，是因?yàn)橹Ц秾毜娘L(fēng)控系統(tǒng)經(jīng)過分析，認(rèn)為其操作行為可疑，風(fēng)險(xiǎn)評(píng)分太高超過了安全線!

　　首先，登陸的設(shè)備不是主人的日常設(shè)備，登陸地點(diǎn)不在深圳，而在廣州某小區(qū)，風(fēng)控大腦已經(jīng)開始警覺。接著，對(duì)于修改密碼的行為，風(fēng)控大腦很困惑，一個(gè)經(jīng)常購買理財(cái)產(chǎn)品，經(jīng)常輸入密碼的人，深更半夜去修改密碼干嘛，一般修改密碼都是密碼忘記了，要找回密碼才會(huì)重置嘛。最后，主人平時(shí)主要就是理財(cái)，極少淘寶，大半夜的，改了密碼就直奔瘋5，這非常違背常理，所以，阻止資金流出。

　　從上面這個(gè)案例可以看出，支付寶風(fēng)控大腦的打分，會(huì)綜合考慮多種因素，而不會(huì)根據(jù)某一個(gè)單項(xiàng)來，因?yàn)閱雾?xiàng)不足以說明問題，比如設(shè)備，那主人換一個(gè)設(shè)備去使用支付寶也是很有可能的。

　　盡管支付寶的風(fēng)控大腦如此高科技，為啥支付寶還有被盜發(fā)生?

　　首先，被盜不代表資金損失，像上面的案例，被盜了，錢還在。

　　第二，最終產(chǎn)生資金損失，雖然這個(gè)概率很低，大概是1/100萬，原因有兩大類：世上總有些很巧合的事情，在行為習(xí)慣，偏好，位置等等很多方面，壞人和你都極其吻合，導(dǎo)致CTU沒能發(fā)現(xiàn)，風(fēng)險(xiǎn)評(píng)分不夠高。

　　不過，更多的是，CTU發(fā)現(xiàn)了，但分?jǐn)?shù)沒有高到直接判定失敗，而是處于疑惑階段，它輸出了二次校驗(yàn)的方式，可惜，用戶再次泄露了校驗(yàn)信息，所以打死別把校驗(yàn)碼給人。

　　說到校驗(yàn)，短信校驗(yàn)(短信驗(yàn)證碼)是最常見的，不過，以后這會(huì)被更多的校驗(yàn)方式逐步取代，因?yàn)檫€有更多不易被泄露或者截取，安全性更高的校驗(yàn)方式。

　　比如說，系統(tǒng)會(huì)問你，以下哪個(gè)商品，是你最近購買過的，這個(gè)壞人很難知道了。比如當(dāng)你在新的設(shè)備登陸微信時(shí)，微信會(huì)讓你在一堆頭像中選出微信好友。再比如說，別輸入短信校驗(yàn)碼了，來刷個(gè)臉吧，壞人總不至于把你拉過去做人臉識(shí)別吧。

　　總之，安全分為系統(tǒng)安全、產(chǎn)品安全(也就是前端可見的很多東西，比如密碼，各類驗(yàn)證等)，還有后臺(tái)實(shí)時(shí)監(jiān)控的安全防范體系。未來的趨勢(shì)是，逐步把精力放在后臺(tái)安全，通過生物識(shí)別和大數(shù)據(jù)的方式來保證安全。而用戶需要做的事情可以最少，甚至有一天，用戶壓根可以不需要記住數(shù)字字母密碼，因?yàn)檫@把鎖足夠聰明，它知道開鎖的是不是主人。你本人就是密碼本身了，這是包括螞蟻金服在內(nèi)互聯(lián)網(wǎng)公司努力的方向。

　　只有這樣，在新環(huán)境下，才能提高安全性能，同時(shí)也是讓用戶體驗(yàn)做到極簡友好。安全可靠和用戶體驗(yàn)這對(duì)矛盾體，能夠盡可能平衡。

　　不過，為什么到現(xiàn)在，指紋識(shí)別的密碼還沒有普及呢?支付寶人士說，主要是目前支持指紋識(shí)別的手機(jī)并不是特別多，只有蘋果、三星和華為的某些高端機(jī)型才有此功能，而且指紋識(shí)別的準(zhǔn)確度也需要進(jìn)一步提高。

　　現(xiàn)在問題來了，如果以后不用數(shù)字密碼了，你也不用操心費(fèi)力記那一堆數(shù)字了，那時(shí)候，你還敢不敢使用支付寶和網(wǎng)銀呢，我猜，你敢。

晉城龍鼎 - 晉城網(wǎng)站建設(shè)為您解答！