NO.582 罗胖精选 | 上网如何保护个人财富和隐私?


和你一起终身学习,这里是罗辑思维。

最近,得到App上线了一门新课——卓克老师的《密码学课》。

我们人类使用密码居然有五千年的历史。而且,每一种新的加密方式出来,就会有另外一拨人努力去破解这个密码。加密和解密,这两种力量此消彼长、互相对抗,发生了很多有趣的故事。

今天的罗胖精选,就邀请你收听这门课程中的一讲:我们在上网的时候,怎么保护自己的财富和隐私?

你好,欢迎来到我的密码学课,我是卓克。

最近两节课,我要给你讲讲实际生活中怎么让密码更安全。

比如,什么网站是不安全的?Wi-Fi密码为什么会被盗走?为什么不需要密码的Wi-Fi不要用……

这些问题不要说挨个解释,只要放在一起提出来,听了就会让人觉得危机四伏。

所以在解释这些风险之前,我要先给你吃个定心丸:当前所有和隐私跟财产有关的应用,其实都已经被妥善的保护起来了。

这种保护一方面来自于密码学,另一方面来自于法律法规。也就是说对于特定的应用,法律会规定一定要采用某种级别以上的加密法。

所以绝大部分人即便完全没有意识到密码和安全保护的存在,只是正常使用,也基本不会遭遇破解。这种安全程度,就像我们绝大多数人不用了解飞机制造和航空管理的细节,只要正常乘坐商业航班,一般都会安全抵达目的地那样。

但你说,我确实在新闻里听说过密码被破然后财产受损的事啊?没错。密码被破解才是新闻,密码平安无事的新闻,是没人看的。

有人就会问,你不是说都妥善保护好了吗,为什么还会有这样的新闻呢?

是的。从密码学角度,确实已经做的挺好。但漏洞往往出在实际使用时的操作失误,或者人的惰性上。

人性的弱点也是密码的弱点,而这些人性上的弱点是密码学很难补齐的。黑客们就会从这些方面下手。

知道了这些你就会明白,想在日常生活中让密码更安全,不仅需要加强密码学知识,还要避免操作失误,也要对抗人性的弱点。

你有时间的时候,可以看看浏览器网页的地址栏,在www之前还有个前缀。如果这个前缀是HTTP://的话,安全程度就稍微低一些;开头是HTTPS://的网站,就更安全,因为它会对网站真实性做验证。

现在大约一半以上的网页,都已经改成HTTPS开头的了。你熟悉的绝大部分网站都是这样的,只有那些基本不承担用户功能的页面,只是单向传输信息的页面,为了提高效率使用的还是HTTP。

比如像网易、新浪的首页,现在已经都是用HTTPS了;而细分到娱乐、体育、汽车、军事,可能用的就是HTTP。

而一旦涉及到用户登录界面,那一定都得是HTTPS开头的才行。如果你发现在输入用户名和密码的界面没有使用HTTPS,这个网站就是非常不值得信任的。

那怎么能看出来,一个网站到底用了HTTPS还是没用呢?其实看一下地址栏的开头就行了。

现在很多浏览器自带很多功能,有的就在HTTPS的前面带一个锁一样的图标,而不把HTTPS写出来,这个也是安全的。

这些规则总的来说并不难,稍加留意就能区别出来。

一些假网站,比如说假淘宝、假京东,只凭肉眼我们是无法从页面设计、布局上区分出来的。当你输入用户名和密码之后,发现并没有进入登录后的页面,或者总是反复提示你密码错误时,其实你输入的用户名和密码已经被假网站收集到手了。它们有了这些信息,就可以干很多事情。

针对这种漏洞怎么防范呢?具体方法就是用一些好的浏览器。

其实浏览器市场竞争也很激烈,我们在软件市场能下载到的浏览器,都有自动识别假网站的功能。

比如说你不小心点了假淘宝,假页面不会直接显示,浏览器会先弹出一个大大的红色警告,告诉你下面的页面可能有严重风险,要不要继续打开。这一步可不是多余的,你只要不一意孤行,硬要输入用户名和密码,就可以躲过去。

你看在这种情况下,密码失守并不是密码学失效,而是有人故意欺骗,导致人们操作失误造成的。

第二个问题,Wi-Fi密码是怎么被盗走的?

这个问题要分两步看,第一步是Wi-Fi密码怎么会被盗走,第二步是被盗走后有什么损失。

我们先说第一步,怎么被盗走的。

其实盗走的方式很多,最简单的就是因为用户自己操作失误。

比如,无线路由要正常工作,需要设置好几套密码,可能有些人只知道Wi-Fi的那套用户名和密码,忽略了另外几套。很多Wi-Fi密码,就是这样被别人知道的。

具体来说,路由器里有很多可以自己设置的参数,比如说谁可以登录、流量限制等,其中也包含Wi-Fi名称和密码这一项。要设置这些参数,就需要另外一套用户名和密码,这套密码就和Wi-Fi名称和密码是不同的。

不少品牌的路由器用户名会默认ADMIN,密码默认也是ADMIN,地址往往是192.168.1.1。这本来是为了让人们第一次使用时方便上手。本应该是在第一次使用之后,就改掉这套默认的ADMIN的。就像咱们第一次办银行卡,银行卡都会有一个默认密码,本应该马上被改掉的。

但很多人不知道这一点,尤其是对IT不了解的人,当初他们家搭的Wi-Fi就是找人帮忙建的,来帮忙的人不愿意冒失的给人家设置一套新密码,多一事不如少一事,所以也就没改掉这个默认值。

在这样的情况下,设置好的无线路由仍然处在任何人都可以通过ADMIN登陆、更改设置的状态。假如我知道这个漏洞,就可以进入路由设置界面,把Wi-Fi密码下的选项点选成可见,就能看到用户名和密码了,也就可以免费蹭别人的网了。

预防这种漏洞的方法也很简单,就是改掉路由器设置界面那套默认的用户名和密码。

当然,这个例子是最简单的,稍稍复杂一些的方法也有。

比如,在安卓的手机系统里有一个文件夹,它就保存着你登陆过的Wi-Fi的名称和密码。这样你下次再登录时,一切都是自动的,不用重新填。

一般情况下,这个文件夹是没法访问的,但有些人玩儿手机刷了root权限后,这个文件夹就可以访问了,这里存的Wi-Fi用户名和密码就可见了。

可能大家用过一个叫做“万能钥匙”的软件,有了它很多有密码的Wi-Fi你都可以连上。其实当你安装上那个App以后,它就能把你手机里存储了Wi-Fi用户名和密码的文件,上传到它的服务器上。

等到积累的比较多之后,有用户再使用万能钥匙的时候,就会先根据Wi-Fi名称查查服务器上有没有对应的密码,有的话就发给用户试试,就有可能成功连上了。

你看,Wi-Fi密码就这样被盗用了。

有很多人不理解,“他顶多蹭了我的网,那又怎样呢?我不在乎啊”。但我要告诉你,这里面的陷阱可多了。

其实,如果能做到把无线路由器设置权限都拿到的话,那连接在这个路由上的所有用户的个人隐私就都保不住了。

黑客可以登录路由器看看主人使用过哪些设备,比如手机、平板,或者电视盒子,然后从流量日志中发现对方的微信、微博、QQ、淘宝、京东的账号,说不定还有那些没有加密的照片。

有人又说了,我没有什么见不得人的隐私,微信、QQ、微博都是可以公开的,照片被看也无所谓。

但不止于此,黑客还可以实时知道你登录了哪些页面,然后就能利用一些跳转链接的动作,把你劫持到咱们刚说的假页面上。

你上一秒还在真淘宝上,下一秒链接就已经跳到了假淘宝,在你重新输入用户名和密码后,隐私和钱就都不保了。

还有,那些把手机root权限打开的操作,更是把自己的隐私门户大开。App如果拿到了这个权限之后,就可以干任何事了。

这个漏洞怎么避免呢?

方法也很简单,就是把路由器默认的那套用来设置参数的用户名和密码改掉,不刷机开root权限,或者干脆使用苹果手机。

你看,这个问题也不是密码学失守,还是属于操作失误。

为了蹭网下一些蹭网软件,结果自己却冒了这么大的风险,这也不是密码学失守,而是那些软件利用了人们贪小便宜的人性弱点。

现在,咱们说第三个问题,为什么没有设置密码的Wi-Fi不要用?

如果你的Wi-Fi是自己设置的,一定会在设置密码时遇到一个选项,就是Wi-Fi的加密方式,一般是WPA2-PSK。

有了它,无线路由在传输数据的时候,就会自动给你的数据加密。即便有黑客用嗅探器把这些电磁波信号抓到了,他们拿到的也只是加密过的密文,想解开也是一件极难的事儿。

而不设置密码的免费Wi-Fi,数据就不再加密。

天下没有免费的午餐。没有密码的免费Wi-Fi,不太可能是有人忘记了设置密码,更有可能是有人释放诱饵。当你的手机或电脑连着这个Wi-Fi上网时,一切数据都要经过他的电脑,他可以把数据全都保留下来分析。

这里绝大部分信息都是原文,只有少部分软件在法律要求下,在登录或支付环节额外加了密。但仅仅是那些原文,就已经足够让一个黑客分析出相当多关键信息了。

面对这种风险,规避的方法就是不连那些没有密码的Wi-Fi。

总结一下,这节课我们说了几种日常上网中会遇到的风险。

这些应用的安全性,本身都是非常可靠的。之所以有时候密码会被盗,并不是因为加密法被攻破了,而是因为有人故意设置圈套,利用人们的操作失误造成的。

但总体上说,在密码的保护下,信息流通和商品交易都是可靠的。知道了上面几个典型的操作失误的例子,也就足够我们避免绝大多数风险了。

好,这节课就到这里。

下节课我再来说说关于手机密码上的问题。

比如,微信和支付宝支付时安全吗?什么密码组合最安全?手机密码里指纹解锁、图形解锁、密码解锁,哪个最安全呢?

内容听完了,我是罗胖。

卓克老师的这堂课非常地干货。你如果希望了解更多密码学的知识,可以在得到App首页的科学学院,找到这门课。

现在加入,还可以享受30元的价格优惠。这是我们专门给第一批学员的奖励。这门课更新完毕,就恢复原价。推荐你不要错过。

罗胖精选,明天见。