電商賬戶登錄安全解決

趙建超

挑戰(zhàn)題描述

今年央視的3.15晚會(huì)，曝光了Wi-Fi熱點(diǎn)的安全問(wèn)題。隨著免費(fèi)Wi-Fi熱點(diǎn)的普及，不少人的賬號(hào)存在被別人截獲的風(fēng)險(xiǎn)，在某些情況下，甚至可能突破HTTPS協(xié)議竊取用戶的賬戶信息。如今，不少電商網(wǎng)站（如京東、蘇寧）就采用的是HTTPS協(xié)議進(jìn)行數(shù)據(jù)傳輸，信息這么容易被捕獲，那么上網(wǎng)的安全又該如何保障呢？（題號(hào)：20151001）

解題思路

京東和蘇寧采用HTTPS協(xié)議登錄后，默認(rèn)不再使用安全登錄控件（圖1）。HTTPS協(xié)議相比原來(lái)使用的HTTP協(xié)議，在數(shù)據(jù)的傳輸過(guò)程中，對(duì)數(shù)據(jù)本身進(jìn)行加密，賬戶信息更加安全可靠。HTTPS通常采用的是先進(jìn)的TLS1.2協(xié)議（圖2），目前，尚未有有效的破解方法。所以在理論上，它比安全控件更安全可靠。

本來(lái)是安全的協(xié)議，正確使用能夠有效防止賬戶信息泄露?？墒且?yàn)檫@些電商為了用戶的體驗(yàn)和進(jìn)行精準(zhǔn)分析等方面的考慮，采用的頁(yè)面不是純的HTTPS頁(yè)面，而是在頁(yè)面中包含了其他非加密的HTTP頁(yè)面等不安全的資源，或者采用了過(guò)時(shí)的加密技術(shù)，這樣導(dǎo)致用戶賬戶非常容易被捕獲。

知道了賬戶信息丟失的原因，解決方法就可以很容易找到了。當(dāng)然，最好的方法是這些網(wǎng)站采用純HTTPS頁(yè)面，不過(guò)這不是我們能夠解決的事情。所以如果你認(rèn)為網(wǎng)絡(luò)不太安全，或者有懷疑，那么可以自己先采取一些安全措施，畢竟防人之心不可無(wú)。

解題方法

找回丟失的安全控件

安全控件登錄的口令信息是被加密的，能夠有效避免口令被捕獲。安全控件的作用有兩個(gè)方面：保護(hù)輸入和加密數(shù)據(jù)。根據(jù)平臺(tái)的使用不同，可以使用ActiveX或者Java applet實(shí)現(xiàn)。目前常見(jiàn)的安全登錄普遍采用HTML制作頁(yè)面，然后調(diào)用ActiveX控件輸入賬戶信息，該控件通常稱為安全控件。如果用戶點(diǎn)擊提交按鈕的時(shí)候，客戶端對(duì)口令進(jìn)行加密，然后對(duì)加密后的口令在網(wǎng)絡(luò)中進(jìn)行傳輸，這樣能夠有效避免用戶賬戶信息泄露。

可是就是這么一個(gè)安全的好工具，為了客戶體驗(yàn)更好（安全控件需要下載），好多網(wǎng)站默認(rèn)不使用安全登錄控件，也就是說(shuō)，即使你下載安裝了安全控件，在登錄的時(shí)候，也不會(huì)出現(xiàn)安全控件選擇，導(dǎo)致好多人以為安全控件失效，從而徹底拋棄這一有效工具。

其實(shí)，如果使用IE調(diào)試模式，多次切換瀏覽器模式，讓網(wǎng)站感覺(jué)到客戶端可能處于不安全的網(wǎng)絡(luò)環(huán)境。服務(wù)器就會(huì)讓安全登錄控件重新出現(xiàn)，從而找回安全控件。

首先打開(kāi)瀏覽器，按下F12鍵，切換瀏覽器模式和文檔模式（圖3）。多次切換后，會(huì)重新出現(xiàn)安全控件選項(xiàng)（圖4）。如果沒(méi)有下載，單擊下載，安裝成功后即可使用。如果已經(jīng)安裝過(guò)，則可以直接使用。

混合瀏覽器調(diào)出安全控件

如果上述方法不會(huì)用，那么在你的計(jì)算機(jī)上安裝不同內(nèi)核的瀏覽器，輪流啟動(dòng)不同的瀏覽器，也可以讓安全控件出現(xiàn)。筆者在計(jì)算機(jī)上安裝了火狐瀏覽器、谷歌瀏覽器，安全控件立即就現(xiàn)身了。值得注意的是，谷歌瀏覽器的安全控件需要自己的許可才能運(yùn)行。

數(shù)字證書(shū)登錄

數(shù)字證書(shū)是網(wǎng)絡(luò)的身份證，使用數(shù)字證書(shū)公鑰加密的信息，除了數(shù)字證書(shū)的持有人之外，別人無(wú)法解密信息。就像打電話，特定的電話號(hào)碼，只有號(hào)碼的持有人能夠接到電話。因此，使用電商發(fā)行的數(shù)字證書(shū)進(jìn)行登錄，可以有效避免信息被截獲。

例如，支付寶數(shù)字證書(shū)是使用支付寶賬戶資金的身份憑證之一，可以加密信息并確保賬戶和資金安全（圖5）。這種數(shù)字證書(shū)是個(gè)人數(shù)字證書(shū)，下載后會(huì)安裝到電腦上。在本地計(jì)算機(jī)安全的情況下它能夠保證賬戶安全，但是千萬(wàn)不要在公用電腦上或者不安全的電腦上安裝數(shù)字證書(shū)。如果不能保證安全，那么就要拋棄數(shù)字證書(shū)這種方式，否則會(huì)帶來(lái)更嚴(yán)重的問(wèn)題，因?yàn)檫@個(gè)時(shí)候，登錄靠的是數(shù)字證書(shū)而不是口令。