還有比數(shù)字密碼更保險的東西嗎?為了更安全，我們在不斷復雜化密碼：數(shù)字、大小字母、下劃線、八位以上等等。而且，為了更安全，不同的網(wǎng)站要有不同的賬戶和密碼，比如，我的支付寶支付密碼十四位，我的p2p理財網(wǎng)站的密碼16位。我的工商銀行，有網(wǎng)銀密碼，數(shù)字移動證書密碼，結果老是記混，從5月中旬因為連續(xù)輸錯多次密碼，那張工行卡一直被凍結，到現(xiàn)在還沒來得及解凍。

　　但是，如此考驗記憶能力、用戶體驗如此不好的數(shù)字密碼，真的是絕對安全么?答案當然是否定的，當攜程被黑之后，人們擔心信用卡信息會泄露。

　　其實，無論是黑客還是安全專家，都相信，數(shù)字密碼即將過時了，取代它的是什么?到那個時候，你的支付寶和網(wǎng)銀會更安全嗎?

　　黑客如何入侵

　　先來看看，黑客是如何攻陷網(wǎng)站和用戶賬號的。

　　斗象科技聯(lián)合創(chuàng)始人兼COO謝忱，作為白帽黑客，深諳黑客圈的秘密，他公司旗下的Freebuf.com是國內最大的安全社區(qū)和新媒體。根據(jù)謝忱的介紹，互聯(lián)網(wǎng)攻擊主要分為以下幾種。

　　第一，以癱瘓目標為目的DDOS攻擊和DNS劫持。

　　拿煎餅攤舉例。DDOS攻擊就是東頭的煎餅攤攻擊西頭的O2O煎餅攤，你不是可以網(wǎng)上下單么，我訂他200個，不去取煎餅，沖垮你。回到線上就是，A網(wǎng)站到B網(wǎng)站發(fā)起超出他常規(guī)訪問量的這種流量過去，B網(wǎng)站可能平常沒有接受這么大訪問量，所以癱瘓。

　　DNS劫持，就是路人甲想去西頭的O2O煎餅攤，結果你和他說，這個煎餅攤在東邊。意思是你原本要打開A網(wǎng)站，結果跳到了B網(wǎng)站。上面講到的2種攻擊方式，去年就被各大黑客組織用得很普遍。

　　而針對黑客的防御方式，有各種驗證碼，比如：

　　如果是這個驗證碼，那真是足夠安全了。但是這種驗證碼或許只適合數(shù)學教授。

　　因此，考慮到用戶的傻瓜體驗，驗證碼不能這么復雜。常見的是各種數(shù)字、字母、漢字密碼，還可能是個加減乘除的算術題等等。

　　這里有個變化過程。最開始，驗證碼是字母，很快黑客破掉了;后來數(shù)字，又被破，再后來數(shù)字加字母，增強了識別圖像的破解難度。現(xiàn)在，還發(fā)展到圖形之間的連接，做圖像識別的都知道，有鏈接點，識別難度就會大大增強。另外你有沒有發(fā)現(xiàn)淘寶網(wǎng)站的驗證碼都歪歪扭扭的，也是為了增加辨識的難度。

　　所以，攻防之間是永遠不停息地對抗博弈，防守也在不斷進步，而黑客也并非大家想象得上天入地無所不能。

　　第二類，以盜信息為目的攻擊。

　　黑客想盜取你的帳號，可以通過很多方式把信息串聯(lián)起來，比如說在找工作網(wǎng)站找到就業(yè)信息，在婚戀網(wǎng)站找到家庭信息、情感狀況，再通過購票網(wǎng)站找身份證，最后把這些信息全部拼湊在一起，關聯(lián)起來盜號。

　　此外，由于很多小伙伴習慣于在不同的網(wǎng)站使用同一賬號和密碼，因此被破解成功后危險性更大。此次攜程被黑，很多用戶會擔心信用卡賬戶會被盜刷。

　　第三，以入侵為目的的攻擊。

　　一些匿名的黑客組織，號稱是全美帝甚至是國際級的黑客組織。但是，黑客攻擊，并非大家想象得這么容易。無論是黑一個網(wǎng)站也好，還是黑一個目標人，其實難度都不小。之前號稱有國際組織要黑中國的網(wǎng)站，吹噓得很厲害，其實，這個組織最終入侵成功的網(wǎng)站，都是什么鄉(xiāng)什么縣的地域性小網(wǎng)站，常年無人維護，安全防護措施約等于無，入侵門檻較低。

　　如何干掉黑客

　　1，拋棄筑城墻思維，立體防控

　　2、利用好大數(shù)據(jù)，黑客可運用各個網(wǎng)站的東西把人的信息關聯(lián)起來，實施定向打擊，防御者也需要用大數(shù)據(jù)回擊。比如A網(wǎng)站獲得所有攻擊者IP地址，B網(wǎng)站也有這些信息，通過建立共享平臺，共享數(shù)據(jù)庫，以后這些黑客在攻擊的時候可以匹配出他的歷史和蹤跡，他利用什么攻擊手段，可以給這個IP打上壞人的標簽。

　　3、新防御手段技術革命。下面這些都是很好的嘗試：

　　拋棄數(shù)字密碼

　　說了這么多，其實用戶之所以擔心密碼被盜，第一是怕泄露個人隱私，第二怕錢財丟失。由于數(shù)字密碼存在泄漏的可能，因此數(shù)字密碼并不絕對安全，而未來通過大數(shù)據(jù)、生物識別等手段，數(shù)字密碼將會被逐步取代丟棄。

　　支付寶早早就在進行嘗試了，根據(jù)支付寶目前的技術，就算你的數(shù)字密碼被盜了，錢幾乎也不會被取走，這不是科幻，這是科學。

　　雖然表面上，支付寶登錄的時候，其安全屏障，在用戶前端，只是一串數(shù)字密碼，但是背后卻有個神奇的風控大腦。

　　這個風控大腦的邏輯是“認人，而不只是識別數(shù)字密碼”。認人的意思是說：就用黑客盜走了用戶的密碼，但是盜了密碼，還是拿不走錢!因為這把鎖，只認主人，主人開，我就放行，不是主人在開，你就goaway。如果拿不準是不是主人，就會通過再次校驗的方式，來判斷是否是主人。

　　聽上去很智能吧，其實，支付寶訓練這個風控大腦已經8年多了。具體來說，這個大腦會根據(jù)一些維度來做判斷并打分，分數(shù)在0-1之間，打分高，說明風險系數(shù)比較高。這個風控大腦的打分因素包括：賬戶、設備、位置、行為、關系、偏好等因素，每一個大類里面都會包含很多細的策略，而這樣的策略總計有10000條左右。不過，風控大腦運算這些復雜策略的時間很快，平均為0.15秒，所以用戶基本上是無感知的。

　　具體的打分模型如下：

　　比如說：行為維度。每個人都會有自己的習慣，比如走路姿勢和筆跡。支付寶的風控大腦策略就是：每個人觸控手機屏幕的方式不同，而手機上是有很多傳感器的。所以可以通過指壓、接觸面積、重力變化，連續(xù)間隔時間等，可以幫助判斷是否是主人操作。國外實驗室測算，這種技術能讓判斷風險的成功率提升7倍，支付寶大概提升了5倍。

　　再比如說：關系維度。一個黑客，來偷用戶的賬戶，然后把錢轉到另一個賬戶。如果這個賬戶和你從未有過資金往來，和你的朋友們也沒有過資金往來，CTU就會提高警覺了，如果這個賬戶是曾經有過不良記錄的，或者和黑名單賬戶有過某些交集，CTU很大程度就會攔截，因為它知道，這估計不是主人在操作。

　　當然了，根據(jù)六度人際理論，通過六個人，你就能認識全世界的人，而網(wǎng)路上的人際關系自然也錯綜復雜，這就需要強大的關系數(shù)據(jù)收集和分析能力。網(wǎng)絡上的人際關系示意圖如下：

　　圖文是不是看起來有點暈，其實舉例就很容易說清楚了。有個深圳的支付寶用戶，經常購買理財產品，平時用的是ios操作系統(tǒng)。2014年 ，該用戶接收了偽基站10086的短信，主動輸入了身份證信息和銀行卡信息，并中手機木馬。

　　當日深夜，騙子結合上述信息，成功獲取校驗碼后修改登錄密碼，并在廣州某小區(qū)登陸，之后又修改支付密碼。接著，得意洋洋下單一臺iphone5，打算用別人的錢，給自己換手機。

　　沒想到，風控大腦直接判定交易失敗，并對賬戶進行了限制。第二天，支付寶客服給用戶打電話，確認用戶賬戶是被盜了，并引導其重置密碼。

　　為什么這個騙子盜取了數(shù)字密碼，卻沒偷到錢，是因為支付寶的風控系統(tǒng)經過分析，認為其操作行為可疑，風險評分太高超過了安全線!

　　首先，登陸的設備不是主人的日常設備，登陸地點不在深圳，而在廣州某小區(qū)，風控大腦已經開始警覺。接著，對于修改密碼的行為，風控大腦很困惑，一個經常購買理財產品，經常輸入密碼的人，深更半夜去修改密碼干嘛，一般修改密碼都是密碼忘記了，要找回密碼才會重置嘛。最后，主人平時主要就是理財，極少淘寶，大半夜的，改了密碼就直奔瘋5，這非常違背常理，所以，阻止資金流出。

　　從上面這個案例可以看出，支付寶風控大腦的打分，會綜合考慮多種因素，而不會根據(jù)某一個單項來，因為單項不足以說明問題，比如設備，那主人換一個設備去使用支付寶也是很有可能的。

　　盡管支付寶的風控大腦如此高科技，為啥支付寶還有被盜發(fā)生?

　　首先，被盜不代表資金損失，像上面的案例，被盜了，錢還在。

　　第二，最終產生資金損失，雖然這個概率很低，大概是1/100萬，原因有兩大類：世上總有些很巧合的事情，在行為習慣，偏好，位置等等很多方面，壞人和你都極其吻合，導致CTU沒能發(fā)現(xiàn)，風險評分不夠高。

　　不過，更多的是，CTU發(fā)現(xiàn)了，但分數(shù)沒有高到直接判定失敗，而是處于疑惑階段，它輸出了二次校驗的方式，可惜，用戶再次泄露了校驗信息，所以打死別把校驗碼給人。

　　說到校驗，短信校驗(短信驗證碼)是最常見的，不過，以后這會被更多的校驗方式逐步取代，因為還有更多不易被泄露或者截取，安全性更高的校驗方式。

　　比如說，系統(tǒng)會問你，以下哪個商品，是你最近購買過的，這個壞人很難知道了。比如當你在新的設備登陸微信時，微信會讓你在一堆頭像中選出微信好友。再比如說，別輸入短信校驗碼了，來刷個臉吧，壞人總不至于把你拉過去做人臉識別吧。

　　總之，安全分為系統(tǒng)安全、產品安全(也就是前端可見的很多東西，比如密碼，各類驗證等)，還有后臺實時監(jiān)控的安全防范體系。未來的趨勢是，逐步把精力放在后臺安全，通過生物識別和大數(shù)據(jù)的方式來保證安全。而用戶需要做的事情可以最少，甚至有一天，用戶壓根可以不需要記住數(shù)字字母密碼，因為這把鎖足夠聰明，它知道開鎖的是不是主人。你本人就是密碼本身了，這是包括螞蟻金服在內互聯(lián)網(wǎng)公司努力的方向。

　　只有這樣，在新環(huán)境下，才能提高安全性能，同時也是讓用戶體驗做到極簡友好。安全可靠和用戶體驗這對矛盾體，能夠盡可能平衡。

　　不過，為什么到現(xiàn)在，指紋識別的密碼還沒有普及呢?支付寶人士說，主要是目前支持指紋識別的手機并不是特別多，只有蘋果、三星和華為的某些高端機型才有此功能，而且指紋識別的準確度也需要進一步提高。

　　現(xiàn)在問題來了，如果以后不用數(shù)字密碼了，你也不用操心費力記那一堆數(shù)字了，那時候，你還敢不敢使用支付寶和網(wǎng)銀呢，我猜，你敢。

晉城龍鼎 - 晉城網(wǎng)站建設為您解答！