用公共WiFi手机上网,会危害银行账户安全吗?

爱真相，不爱流言。爱考证，不爱轻信。爱证据，不爱权威。爱科学，不爱迷信。这是我们的谣言粉碎机。捍卫真相与细节，一切谣言将在这里被终结，由我，由你。

本期主持人：妖颜

流言

近日有黑客自曝：在星巴市、麦当劳这些提供免费WiFi的公共场合，用一台Win7系统电脑、一套无线网络及一个网络包分析软件，15分钟就可以窃取手机上网用户的个人信息和密码。国内某知名安全机构的工程师承认，这个真可以做到。网银、支付宝密码……你懂的!

真相分析：

其实，无论你使用电脑、iPad、还是手机，只要通过wifi上网，数据都有可能被控制这部WiFi设备的黑客电脑截获到，其实也未必一定是Win7系统，信息也是有可能被窃取的，当然包括未经加密处理的用户名和密码信息。但是，无论什么系统的电脑，架设了多么高级的WiFi热点，黑客都无法在用户正确操作下获取网银和支付宝密码，更不要说盗窃其中的钱了。

用户可通过手机上的专门客户端程序，通过WAP方式与银行系统建立链接，并进行账户查询、转账、缴费付款、消费支付等金融服务，这种方式被称为“手机银行”。与一般上网方式显著不同的是，其网址的头三个字母是WAP。手机银行的账户信息是经过静态加密处理的，而且与手机绑定，假使他人盗取了你的账户信息，但其他手机上也无法操作。经与工行客服核实，他们称现在为了方便用户，允许非指定手机操作手机银行账户了，但允许操作的资金额度很低。最重要的是，手机银行还有认证手段，你输入了正确的账号和密码，当进行涉及到账户资金变动的操作时，手机银行会提示你输入特定的电子口令，而电子口令卡就是一种有效的认证手段。不同的银行可能会采用不同的认证方法，比如建行就是通过绑定手机发送手机验证码，但都起到了类似的作用。加密与认证并没有明显的区别，但从功能角度而言，两者非常不同，相互不能取代，并可通过有效配合而达到很高的安全性。

个人网上银行会采用https的加密协议来保障交易安全，你在电脑上输入个人网上银行地址，当跳转到账户信息输入页面时，网址栏就由http变为https了，而且在最后面还多了一只小挂锁，这表示通过这个页面输入并传送的数据，会被128位的加密算法进行加密，只有银行方面才能正确解密，即使这些加密数据被黑客全部拿到，也毫无用途。

警惕钓鱼网站

不少账户被盗的案例其实是因为访问了钓鱼网站。他们伪装成正规的银行页面或是支付页面，骗取你输入你的账户名和密码，而这未必一定需要通过WiFi热点这种方式来实现，任何上网的方式都有可能上当。不过，公共的WiFi确实为不法分子提供了一个便利的钓鱼环境。可以在用户浏览网站时输入一段HTHL代码，使其自动跳转到钓鱼网站。所以尽量选择具有安全认证功能的浏览器，这些浏览器能够自动提示你打开的页面是否安全，避免进入钓鱼网站。对于智能手机用户，在下载和交易有关的客户端软件时尽量选择官方渠道下载，不要安装来路不明的客户端。

结论

银行账户是否安全与手机是不是通过免费的WiFi上网，并没有，必然的联系。使用基于WAP客户端的手机银行是安全的，用电脑通过https使用个人网上银行也是安全的，但不要用手机上个人网上银行，现在银行也还不支持这项业务。用电脑上个人网上银行时，请核实下https和地址栏后面的小挂锁标志，谨防被钓鱼。