电商账户登录安全解决

赵建超2015-07-14 08:52应用 标签:电商 账户 登录

今年央视的3.15晚会,曝光了Wi-Fi热点的安全问题。随着免费Wi-Fi热点的普及,不少人的账号存在被别人截获的风险,在某些情况下,甚至可能突破HTTPS协议窃取用户的账户信息。如今,不少电商网站(如京东、苏宁)就采用的是HTTPS协议进行数据传输,信息这么容易被捕获,那么上网的安全又该如何保障呢?

【解题思路】

京东和苏宁采用HTTPS协议登录后,默认不再使用安全登录控件(图1)。HTTPS协议相比原来使用的HTTP协议,在数据的传输过程中,对数据本身进行加密,账户信息更加安全可靠。HTTPS通常采用的是先进的TLS1.2协议(图2),目前,尚未有有效的破解方法。所以在理论上,它比安全控件更安全可靠。

2015dlaq01

2015dlaq02

本来是安全的协议,正确使用能够有效防止账户信息泄露。可是因为这些电商为了考虑用户的体验和进行精准分析等方面考虑,采用的页面不是纯的HTTPS页面,而是在页面中包含了其他非加密的HTTP页面等不安全的资源。或者采用了过时的加密技术。这样导致用户账户非常容易被捕获。

知道了账户信息丢失的原因,解决方法就可以很容易找到了。当然,最好的方法是这些网站采用纯HTTPS页面,不过这不是我们能够解决的事情。所以如果你认为网络不太安全,或者有怀疑,那么可以自己先采取一些安全措施,毕竟防人之心不可无。

【解题方法】

找回丢失的安全控件

安全控件登录的口令信息是被加密的,能够有效避免口令被捕获。安全控件的作用有两个方面:保护输入和加密数据。根据平台的使用不同,可以使用ActiveX或者Java applet实现。目前常见的安全登录普遍采用HTML制作页面,然后调用ActiveX控件输入账户信息,该控件通常称为安全控件。如果用户点击提交按钮的时候,客户端对口令进行加密,然后对加密后的口令在网络中进行传输,这样能够有效避免用户账户信息泄露。

可是就是这么一个安全的好工具,为了客户体验更好(安全控件需要下载),好多网站默认不使用安全登录控件,也就是说,即使你下载安装了安全控件,在登录的时候,也不会出现安全控件选择,导致好多人以为安全控件失效,从而彻底抛弃这一有效工具。

其实,如果使用IE调试模式,多次切换浏览器模式,让网站感觉到客户端可能处于不安全的网络环境。服务器就会让安全登录控件重新出现,从而找回安全控件。

首先打开浏览器,按下F12键,切换浏览器模式和文档模式(图3)。多次切换后,会重新出现安全控件选项(图4)。如果没有下载,单击下载,安装成功后即可使用(图5)。如果已经安装过,则可以直接使用。

2015dlaq03

2015dlaq04

2015dlaq05

混合浏览器调出安全控件

如果上述方法不会用,那么在你的计算机上安装不同内核的浏览器,轮流启动不同的浏览器,也可以让安全控件出现。笔者在计算机上安装了火狐浏览器、谷歌浏览器,安全控件立即就现身了。值得注意的是,谷歌浏览器的安全控件,需要自己的许可才能运行(图6)。

2015dlaq06

数字证书登录

数字证书是网络的身份证,使用数字证书公钥加密的信息,除了数字证书的持有人之外,别人无法解密信息。就像打电话,特定的电话号码,只有号码的持有人能够接到电话。因此,使用电商发行的数字证书进行登录,可以有效避免信息被截获。

例如,支付宝数字证书是使用支付宝账户资金的身份凭证之一,可以加密信息并确保账户和资金安全(图7)。这种数字证书是个人数字证书,下载后会安装到电脑上。在本地计算机安全的情况下它能够保证账户安全,但是千万不要在公用电脑上或者不安全的电脑上安装数字证书。如果不能保证安全,那么就要抛弃数字证书这种方式,否则会带来更严重的问题,因为这个时候,登录靠的是数字证书而不是口令。

2015dlaq07

小提示:

值得注意的是,还有另外一种数字证书,这种数字证书仅仅保护账户关键信息修改的安全(图8)。申请数字证书后,只能在安装了数字证书的电脑上进行修改手机、修改支付密码等账户安全操作。注意,这种证书,并不能保护账户本身的安全。

2015dlaq08