网络的监听与劫持 前面我们已经弄明白了在整个密码流通过程中,第一环节与最终环节上可能产生的密码被盗的原因,现在我们再来看看最后剩下的中间环节,即网络传输。
如果我们用户本身和服务器都确保了我们的信息是安全可靠的,那么我们的密码是不是就百分之百安全了呢?其实也不是,因为还有一个环节没有清理干净,那就是从本地发送密码到服务器的必经之路(也是媒介)——网络。
如果用户与服务器之间的网络被劫持,那么你的密码仍然存在被盗的风险。这就像你的钥匙在快递去银行的路程当中被劫持了一样。
“监听卫士”斯诺登
不过劫持网络是一件成本跟风险很高的事情,因为这需要黑客能够对整个网络进行监听,而这就涉及到了网络运营商。如此高风险的活动其实是很少见的,能够对网络进行监听的除了政府部门,一般的个人和组织都无法做到。
既然是这样,也就很少有人会用这样的方式去盗取那些普通的账号密码,实在是有些大题小做。所以对一般的用户来说,基本不用担心我们的账号密码会在网络传输的过程当中被盗。而事实上即便真的有人这么做,作为用户本身也无能为力,只能寄希望于运营商和政府本门的打击。
如何保护我们的密码? 前面我们已经把密码流通过程三个环节中可能导致被盗的原因进行了分析,那么对于用户来说,又该如何保护我们的密码尽可能地不被盗取呢?我们根据前面列出的一系列原因也总结了一些易于使用的密码保护措施。
首先,请确保你的密码足够复杂,而不是简单的数字和字母,这将使你的密码在黑客穷举暴力破解的行动下撑过较长的时间,直到服务器因检测到多次错误而启动自动锁定机制。请将你的密码保存在足够安全的地方,比如专门的手抄本中,尽管这有些麻烦,但是这是黑客完全无法入侵的领域。
其次,请不要使用一套账号和密码注册你所有的网络服务,因为一旦有一个服务的密码被盗,那么旧意味着你其他服务的安全性也将处在阴影笼罩之中。过多的密码可能会难以记清,我们可以使用1Password这样的工具(当然你得先保证1Password本身的安全),或是传统的纸笔记录。
1Password
再次,请尽可能地使用多重防护工具来保护你的账号安全。在当前的网络服务中往往提供了密码之外的安全防护工具,比如安全码、短信验证、安全证书等等,尤其是涉及到资金的服务以及游戏。在现实情况下,总是有人因为怕麻烦而采取无视的态度,但这并不是一个正确的行为。请打开你的账号安全中心,开启你所能使用的所有安全工具。
尽可能多开安全服务
接着,在有条件的情况下尽可能采用非密码识别机制,比如指纹识别、手机二维码扫描、手机App激活等来代替密码输入。这些识别工具比密码更具备唯一性,在安全性方面也要强与密码。只要我们的手机没有丢失,手指还连在自己的手上,账户被盗的风险就会大大降低。
TouchID
请为你的电脑和手机创造一个安全健康的使用环境,学会识别钓鱼网站,不要下载奇怪的东西,让电脑和手机始终处于无毒的状态,不要给木马任何入侵的机会。一旦发现被木马感染,请迅速清除,严重地请重装系统。
最后,请选择值得信任和具备一定技术实力的互联网公司提供的服务,避免祸起萧墙。
当然这些方法并非都是万能的,因为用户自己能做的仅仅局限在源头阶段,至于之后的网络传输和服务器环节用户是无能为力的,只能依靠运营商和服务商方面的力量了。就好比我们使用指纹识别来验证信息,但是这些仍然需要在服务器端进行解码,如果服务器给攻击则仍然有被盗的风险。
所以总结一句话,做好自己该做的,别的就听天由命吧,在这个时代想要逃离互联网是不现实的。