后密码时代的密码

固定密码有效补充——动态口令

现在网络安全形势越来越严峻，很多黑客、木马都在紧盯我们的钱包，网上支付稍不小心就可能造成我们的财产损失。传统方法是使用强健的密码作为保护手段，不过这种固定密码保护对于监控木马形同虚设，因为即使再复杂的密码也需要通过键盘输入，木马捕捉到输入后就可以轻松窃取到密码，根本无需破解。

为了弥补传统的固定密码的不足，现在很多在线支付引入了动态口令作为支付的扩展保护手段。动态口令顾名思义就是动态变化的密码口令，它和固定密码最大的不同就是，动态口令会在一定周期内（如30秒或60秒）变化密码。比如支付宝的宝令（手机版），每30秒更新一次动态口令，这样我们在付款时就需要输入宝令上的动态密码才能完成付款，即使黑客窃取到这次的口令也不会对资金安全造成麻烦，因为下一次口令又变为另一个了（图1）。

动态口令的工作原理

动态口令比固定密码有更好的安全性，可是动态口令的密码时刻在变化，在线支付服务器是怎么保证我们输入的动态密码是正确无误的呢？

动态口令是由两部分组成的，一部分负责用户身份的验证，这部分是固定不变的，我们称之为固定因子；另一部分则是负责动态口令的生成，它是动态变化的，我们称之为动态因子。这里我们以中行E令为例，首先我们要在柜台进行申请，银行工作人员会将我们的中行E令和有在线支付功能的银行卡绑定，这里用于识别用户银行卡标识的就是固定因子，我们获得的中行E令是类似一个电子表的硬件，中行E令中保存的就是动态因子，它会在30秒内动态变化一组6位数字（图2）。

在线支付服务器怎么对动态口令进行验证？实际上定期变化的动态口令的验证是基于时间同步认证技术实现的。还是以中行E令的实际操作流程为例。

1我们首先要以注册的用户名和密码登录中行个人网银网站，因为登录用户名是和银行卡绑定的，所以我们在登录成功后，网站服务器就实现对用户身份的验证，这是固定运算因子在起作用。

2选择支付的账户后，此时网站会要求输入手机交易码和动态密码，当在动态密码框输入E令的密码，点击“确定”提交，此时动态口令通过网络传输给认证服务器进行认证（图3）。

3认证服务器收到提交的动态口令后，它会根据时间同步认证技术产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，如果正确则完成此次支付，如果错误则返回“动态口令输入错误”的提示，拒绝用户此次的支付。

这样借助于时间同步认证技术，同时通过用户手中的中行E令和中行网站认证服务器，就可以自动完成动态口令的验证，从而有效保护用户网银支付的安全。其他电子商务网站的动态口令验证原理类似。

动态口令并非100%完美保护

从上面的流程我们知道，从表面上看中行E令上的动态口令是随机生成的，实际上这里口令的生成是和中行网站验证服务器一一对应的。当我们的动态口令在中行E令生成的同时，网站验证服务器也在同步生成一个验证，动态验证是基于令牌和服务器的时间同步实现的。

首先动态口令要求时间同步的精准性，因为其同步的基础是国际标准时间，这要求其服务器能够十分精确地保持正确的时钟，同时对其令牌的晶振频率有严格的要求。不过在日常的使用中，由于令牌的工作环境不同，在磁场、高温、高压、震荡、浸水等情况下，易发生时钟脉冲的不确定偏移和损坏，从而导致同步验证的失败（图4）。

其次，令牌上的动态口令是机械生成的，关键的是网站验证服务器生成的验证数据。因此如果网站的验证服务器被黑客入侵，黑客就有可能根据网站验证服务器的数据，找到与之对应的动态口令，从而给我们的网络支付带来损失。

手机端未来可能的新型保护

动态口令是目前比较成熟的防护手段，但在密码攻防战中，为了更好地阻挡住黑客们层出不穷的攻击，人们也在相继开发各种新型的加密技术，已经或者很快就要应用到手机中。

指纹认证

动态口令虽然比较安全，但是它的操作性是很繁琐的，所以各种通过生物特证认证的方法涌现，比较流行的是指纹识别。

世界上几乎没有两个相同指纹的人，因此指纹认证可以保证识别的唯一性。现在很多支付也逐渐引入指纹认证，比如美国的一线零售商，如沃尔玛、7-11便利店等知名商户均支持指纹认证消费。此外，眼部（瞳孔距离、视网膜识别、虹膜识别）、脸型认证也逐渐出现在很多消费场所。将要的iPhone 5S也已经将指纹识别纳入规划中了。

手机短信验证技术

手机几乎是每个朋友必备的工具，因此很多在线支付服务添加了短信验证服务，比如支付宝就可以申请每笔支付短信验证服务，这样即使黑客破解了你的支付宝密码，他还要获得你的手机才能完成支付功能。

双因素认证

为了实现更高的身份认证安全，一些要求更为严格的认证交易，还会将上述认证手段混合使用，即所谓的双因素认证。

小心美食软件内含“添加剂”

所谓“伪造短信推送垃圾广告”，就是手机木马自动生成广告短信放到你的收件箱里，让你以为是别人发来的，但又拦截不了。这些伪造的短信内容、时间全都受到黑客的远程控制，显示的发送号码也是伪造的。如果这种伪短信恶行升级，伪装成运营商以及银行发诈骗短信，造成的后果将不堪设想。

此外，有的美食软件还会窃取隐私，如山寨版的“郑州美食”，还会读取社交软件如手机QQ中的好友信息、电话簿中的联系人信息，连QQ音乐内的播放记录、浏览器书签都不放过。

较常见的大众点评、食神摇摇等都有被篡改的现象，它们的恶意行为多为私下推广软件耗流量、扣费等。

防范措施

其实，只要多留一个心眼，养成好的手机安全使用习惯，这些山寨软件就没那么容易得逞。要想吃好喝好，一定要留意软件下载渠道是否安全可靠，或通过手机防护软件来为你的手机“美食”软件把关。

山寨学习软件 背后窃隐私

不少望子成龙的父母会要求孩子少玩游戏、多学英语、早日成为“学霸”，但一些英语辅助学习类手机软件也不能让人省心。一些学习类软件自从下载了之后，手机中就经常莫名出现一些其他软件，删除之后还会回来。而只有将学习软件删除后，手机才一切如初。

防范措施

看来，下载学习类APP时还真得多加小心。对此，提醒学生和家长，下载学习类手机软件要选择手机助手等安全、可信的正规渠道，同时使用手机防护软件对下载的应用进行检测，保证“学霸”之路安全畅通。

小心DNS被篡改

给Wi-Fi做体检

病毒危害

一旦DNS被篡改设置，黑客就能监控用户的电脑、手机、Pad等所有设备的上网行为，伺机窃取网银和网购账号密码，甚至挟持用户访问钓鱼网站。

防范措施

由于绝大多数家用路由器没有修改管理账号默认密码（并非Wi-Fi密码），导致黑客可以轻易攻击路由器，篡改DNS设置。360已独家推出带有“Wi-Fi体检”功能的安全卫士新版本，当用户每天用卫士进行常规体检、云查杀等操作时，就会自动检测DNS配置是否正常；当用户通过功能大全使用“Wi-Fi体检”，还会及时提示用户修复路由器安全漏洞，可以全面防黑防蹭网。

小心钓鱼

理财投资需谨慎

病毒危害

目前网上虚假的投资理财网非常多，而且内容极具煽动性，如果一时糊涂，贪图所谓的“高利润”，很容易轻信其编造的花言巧语。一旦通过这些网站进行网上交易，不仅无法获得其承诺的收益，还将遭到巨大的经济损失，甚至可能造成银行卡被盗刷。

防范措施

不要轻信网上投资理财网，尽量使用安全浏览器或具有“网站照妖镜”功能的浏览器仔细鉴定网站身份，以免遭到不必要的经济损失。一些安全浏览器具备“网址云安全”、“网银云安全”等安全防护体系，可以自动拦截恶意钓鱼网站，确保用户上网安全。用户一旦上当受骗，还可享受网购先赔服务。