面對“暴力破解”,我們的支付密碼安全嗎?

即便在不安全的、免費(fèi)的Wi-Fi環(huán)境下,哪怕有黑客獲取了我們支付密碼的這段信息,他也沒辦法。因?yàn)檫@段信息,是被支付軟件自帶的RSA加密技術(shù)保護(hù)著的,想破解依然是難上加難。

與我們生活息息相關(guān)的很多密碼都很短,手機(jī)上的微信支付密碼,銀行卡密碼,只有6位。面對“暴力破解”,它們是安全的嗎?

答案:是安全的。為什么這么說呢?我們具體來說一下。

01

物理上的限制

可能有的人會(huì)納悶了:為什么規(guī)定這些密碼一定是6位呢?其實(shí)這更多是出于使用方便的角度考慮的。有一系列科學(xué)研究結(jié)論顯示,人在無壓力的時(shí)候,輕松記住的一串?dāng)?shù)字的長度,大約就是5-7位,所以就取這中間值6位,當(dāng)作密碼的長度。因?yàn)橹挥?位,所以排列組合的可能性就不夠多,理論上來說,暴力破解是一下子就能把它攻破的。但銀行早就想到了這一點(diǎn),所以又增加了一些物理上的限制。比如說,連續(xù)5次密碼輸入錯(cuò)誤,銀行卡就會(huì)被鎖住,只能用主人的身份證去柜臺(tái)解鎖。所以你看,雖然可能性少得可憐,但暴力破解是不可能的。

02

使用了RSA加密

RSA加密法是第六代加密法。它的加密方法說特殊也不特殊。

下面我用打比方的方式,來說說具體的加密過程:

張三有很多把鎖,每把鎖都有兩把不同的鑰匙,一把專門用來上鎖而不能開鎖,另一把專門用來開鎖而不能上鎖。

張三把那把用來上鎖的鑰匙,盡量多的贈(zèng)送給每個(gè)可能和她通信的人。這些人拿到鑰匙后,就可以把要跟張三說的話寫下來,再用張三給的鑰匙把鎖鎖上,然后寄給張三。

張三拿到鎖好的盒子后,用另外一把只有她才有的專用鑰匙打開盒子,就可以看到信里的內(nèi)容了。

這個(gè)過程的關(guān)鍵點(diǎn)就是,對同一把鎖來說,上鎖和開鎖用的是兩把不同的鑰匙,而之前我們說的所有加密法都是使用相同鑰匙的。

所以之前的都叫“對稱鑰匙”,而RSA因?yàn)槭褂昧瞬煌蔫€匙,所以叫“非對稱鑰匙”,或者“非對稱加密”。

說它不特殊,因?yàn)樗募用茉硪彩窃黾舆\(yùn)算量,增大破解的難度。這個(gè)難度有多大呢?想要破解RSA加密,大約需要把全球計(jì)算機(jī)的算力集中起來算上幾億年的時(shí)間才行。

現(xiàn)在我們用的一切帶有支付功能的軟件,比如支付寶、微信,它在支付環(huán)節(jié)也都是做加密的,而且移動(dòng)端一般用的都是我們講的RSA加密,安全性非常高。

即便在不安全的、免費(fèi)的Wi-Fi環(huán)境下,哪怕有黑客獲取了我們支付密碼的這段信息,他也沒辦法。因?yàn)檫@段信息,是被支付軟件自帶的RSA加密技術(shù)保護(hù)著的,想破解依然是難上加難。

03

安全漏洞更多來自于人為的操作

比如在手機(jī)上輸入數(shù)字或者圖形密碼時(shí),理論上是安全的。原因剛才說了,和解鎖相關(guān)的動(dòng)作、跟密碼有關(guān)的數(shù)據(jù),全都被RSA加密了。但是,要確保足夠安全,你得保證輸入密碼時(shí)沒被任何人看到。而這一點(diǎn)不是每個(gè)人都能做到的,畢竟這樣的操作太頻繁了。

歷年最容易破解的一些密碼

像9個(gè)點(diǎn)位的圖形解鎖,雖然能提供40萬種的圖案可能性,但有經(jīng)驗(yàn)的賊離很遠(yuǎn)就能通過你的動(dòng)作趨勢,判斷出你劃屏的動(dòng)作。甚至在2015年,還有黑客做出了一套劃屏動(dòng)作識(shí)別系統(tǒng)。可以在隔2.5米,角度很偏的情況下,5次之內(nèi)猜對圖形解鎖的圖案。就算黑客沒能掌握這些識(shí)別技能,他們只是試一試那些劃屏常用的動(dòng)作,像口字型、Z字型、C字型等,多試一試,也至少有1/3的手機(jī)的圖形解鎖是可以被破解的。同理,數(shù)字按鍵解鎖也一樣存在這個(gè)問題。要不就是容易被人看到密碼,要不就是設(shè)置得太簡單,容易被人試出來。

所以一切這些,都屬于人們操作中出現(xiàn)的漏洞。

怎么解決呢?可以改用指紋、聲紋、面部識(shí)別來解鎖或者支付。

現(xiàn)在的手機(jī)中,用來比對生物特征的這部分?jǐn)?shù)據(jù),是單獨(dú)存儲(chǔ)在一個(gè)區(qū)域的。

首先,這個(gè)區(qū)域是不能被輕易讀到的;其次,存儲(chǔ)到里面以后,也是加密的;再次,存儲(chǔ)的加密后的這些生物特征,并不是完整的特征數(shù)據(jù)。以指紋識(shí)別來說,那個(gè)特殊存儲(chǔ)塊里存儲(chǔ)的指紋信息,不是全部指紋的樣子,而只是全部指紋信息的一部分,比如說10%。那到底是存了哪根手指指紋的哪10%呢?它其實(shí)是隨機(jī)的。這10%的特征,只用來核對跟當(dāng)前按過來的指紋是否吻合。所以即便有超級(jí)牛的黑客,把這部分生物特征的數(shù)據(jù)想辦法讀到了,也解密了,也依然不能還原一個(gè)人的指紋。

聲紋和面部識(shí)別,也都是基于同一種原理。這樣,安全性就更高了。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論

本月熱門