银行
电子银行整体安全/ 商业银行移动营销系统信息安全及无纸化/ 商业银行柜面无纸化安全/ 商业银行电子回单安全/ 商业银行网银助手安全/ 商业银行批量代发代扣数据安全/ 商业银行在线借贷电子合同安全/ 电子银行风险监控证券
证券行业移动柜台及信息安全保险
保险行业电子投保全流程安全解决方案互联网金融
P2P ( 网贷平台) 安全/ 供应链融资平台安全/ 融资租赁平台安全/ 在线身份认证第三方支付
第三方支付整体安全电子商务
电子招标投标安全/ 大宗交易平台数字证书应用安全移动金融
移动支付TSM 平台接入安全/ 金融IC 卡发卡系统/ 金融IC 卡证书多应用安全移动安全
移动平台整体安全/ 移动平台客户端应用安全加固/ 移动平台应用市场渠道监控/ 移动平台数字证书安全应用/ 移动办公安全企业安全基础设施
CA 数字证书认证系统建设资金管理
企业资金管理系统安全基础通用
数字证书应用与建设电子取证
电子签名验证技术(电子取证)税务
电子发票安全卫生医疗
医疗行业电子签名全流程安全解决方案证照合一
电子证照及“三证合一”政务办公
政府行政审批系统安全/ 政府电子化采购平台安全/ 移动电子政务安全智慧城市
智慧城市智慧钥匙产品检测服务> 认证检测服务
移动金融技术服务认证/ IT产品信息安全认证/ 数据中心检测认证/ 云计算技术金融应用检测/ 中国银联支付应用软件安全认证/ 商业银行应用程序接口检测产品检测服务> 预测试服务
产品检测服务> 委托测试
金融IC卡检测/ 受理终端检测/ 移动终端应用软件(APP)检测/ 安全加固/ 渠道监控/ 行为监控/ USBKey和OTP检测/ 移动金融安全芯片检测/ 移动金融安全载体(SE)检测/ TEE和TA检测/ 条码技术检测其他服务
金融领域安全IC卡和密码经验示范工程验收测试国密验收测试(国密算法改造验收测试)/ 信息安全资讯与同行业动态通报合规类
非银支付检测/ UPDSS合规评估/ 银联入网测评/ 电子招投标系统检测/ 等保测评/ 商用密码应用安全性评估/ App安全认证/ 电子社会保障卡服务渠道接入安全评估/ 收单外包服务商安全技术评估评估类
电子银行评估/ 渗透测试/ 移动APP安全检测/ 代码审计/ 金融科技产品认证(移动客户端)/ 信息安全风险评估/ 信息系统安全评估咨询类
数据安全治理/ ISO27001咨询/ 个人信息保护咨询&风险评估/ 信息科技风险审计咨询生产系统证书下载
新证书下载平台(生产证书)/ 证书下载支持手册测试系统证书下载
新证书下载平台(测试证书)/ 证书下载支持手册普通证书
普通证书技术支持手册/ 证书常见问题解决办法/ CFCA网站证书查询说明文档/金融IC卡根服务平台相关手册全球服务器证书
全球服务器证书用户手册/ 反欺诈全球服务器证书用户手册/ 全球服务器证书技术支持手册/ 服务器证书在线支持工具本站支持IPv6
银行
证券
保险
互联网金融
第三方支付
电子商务
移动金融
移动安全
税务
卫生医疗
证照合一
政务办公
智慧城市
产品检测服务> 认证检测服务
产品检测服务> 预测试服务
产品检测服务> 委托测试
其他服务
合规类
评估类
咨询类
字号:大中小
网络时代,密码已经成为我们生活中的一部分。网上购物、电子邮箱、聊天社交、网银转账……这么多的密码,我们一次次的输入、登录,然后开始享受便捷的服务。然而有一天,你发现网银或第三方支付账户上资金被转走了……原因简单而粗暴——密码被盗了。所以,不时会有人语重心长的教导我们,密码要复杂些再复杂些,复杂的自己都不认识了;要长一点再长一点,长的就如一首诗。然而,密码被盗的情况依然严重。为了盗取密码,特别是那些涉及资产的高价值密码,黑客们会不择手段。下面,我们就来看看黑客们常用的几种密码截取手段:
(1)键盘窃听
这个比较好理解,就是在键盘使用者不知情的情况下,通过隐蔽的方式记录下键盘的每一次按键信息,并将这些按键信息发送到黑客的电脑或手机,黑客可通过这些信息获取密码。进行键盘窃听可通过各种软硬件手段实现,例如在用户设备上植入木马程序,或者是伪装成U盘、插头、充电器等你想得到或想不到的各类物体的键盘记录器。
(2)屏幕记录
图注:安全键盘也有软肋
现在,网银和很多软件的登录界面都支持软键盘输入。软键盘又称为安全键盘或动态键盘。因为软键盘的数字和字母都是随即生成排列的,又通过鼠标点击输入,所以很难被木马记录到。然而这难不倒黑客,他们很快开始使用屏幕记录软件,对用户屏幕进行截屏,通过截图记录鼠标点击的位置,以此破解用户密码。
(3)嗅探器
在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码),最有效的手段之一是使用嗅探器程序,使用这种工具,黑客可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以未经加密保护的形式在网络上传输时,嗅探器就如嗅到了血腥味的鲨鱼,开始贪婪的吞噬网上传送的数据包。
以上是几种比较常见和容易理解的密码截取方式,除此以外还有如键盘钩子、反汇编、 逆向分析等五花八门且在不断推陈出新的手段。但万变不离其宗,黑客基本都是选择在密码输入或输入完毕后的信息传送阶段下手。我们每一次点击、每一次输入,都会产生一个记录,所以在记录产生的第一时间就应对其进行安全存储。而在密码输入完毕点击提交,也就是从客户端传输到服务器端的全过程都需要进行加密。做好以上两点,黑客就无从下手。目前,部分对密码安全要求极高的银行、支付机构,如中国银行、中彩宝等,通过CFCA密码安全控件(亦称SIDS安全输入开发套件)实现密码输入安全存储和加密传输。那么,密码安全控件是如何保护密码安全的呢?
图注:使用安全控件保护各类设备、平台的密码输入、传输
CFCA密码安全控件由为国内97%的银行提供电子认证和信息安全服务的中国金融认证中心开发,其在研发初期就确立了较高的安全标准,以满足银行严苛的安全需求。CFCA密码控件在客户端密码数据产生的第一时间即将其获取,并使用对称加密算法进行存储。当密码数据进行传输时,安全控件再使用非对称加密算法对数据进行加密传输到服务器,保证只有服务器私钥才能解密数据,确保数据安全抵达服务器。通俗点讲,当我们输入密码时,安全控件可以赶在所有恶意程序下手前就将密码信息收入囊中,并用一把密钥进行加密。此时,恶意程序仍可窃听键盘记录,但得到的只是一堆与密码无关的信息,而密码信息的踪迹只有安全控件知道,并处在其保护之下。其后,密码要从客户端发往服务器端,这一路也是险象丛生,各种嗅探器、中间人攻击闻风而动。但此时安全控件已对密码进行加密,唯有服务器端的一把专有私钥才能解密。黑客就算辛辛苦苦截取到了数据包,却因为手里没有私钥而无法获得密码。
在过去,密码被盗可能只会带来几个q币的损失。但现今,随着互联网金融的极速发展,支付转账的金额越来越大,各种密码截取手段随之层出不穷,密码保护工作不仅越发重要也越发艰巨。在提示用户注意密码使用安全的同时,相关网站、平台、企业应采用如安全控件、数据库防火墙等产品,并不断完善账户、密码等数据的安全策略,强化客户端与服务器端的密码存储、传输及管理,有效遏制密码截取行为,从根本上保护用户的密码安全。
后记——安全控件与HTTPS
有一定信息安全知识基础的用户可能知道,Https网络协议也可以实现信息的安全加密。目前很多互联网金融平台通过安装SSL证书(服务器证书),在登录页面实现Https加密,用以保护用户在页面输入的账户和密码。那么,这是否说明Https可以实现与安全控件类似、甚至是相同的密码保护作用呢?非也,两者存在以下差异:
首先,如前文所述,安全控件第一时间即在客户端,也就是用户的电脑、手机等设备上将密码加密,防止木马截取。而HTTPS仅能在客户端向服务器端传输的这一阶段进行加密,无法应对客户端木马程序对密码的截取。
其次,HTTPS作为一种网络加密协议,虽然安全性比较高,但作为一种通用型协议也并非无懈可击,2014年爆出的“心脏出血”漏洞就体现了其相对脆弱的一面。而安全控件使用独一无二的专有私钥进行加密传输,黑客无法获取私钥,解密无从谈起,安全控件的加密传输安全性比HTTPS更高。当然,并非所有信息都需要通过安全控件进行加密传输,所以将HTTPS与安全控件结合使用是一个更为合理的选择。
如果您对安全控件的的用途仍有疑问,可致电010-59798680或登录www.cfca.com.cn/咨询。
版权所有 CFCA
地址:北京市西城区金融大街37号8层 邮编:100031
北京市西城区菜市口南大街平原里20-3 邮编:100054
版权所有@CFCA本站支持IPv6
地址:北京市西城区金融大街37号8层 邮编:100031
北京市西城区菜市口南大街平原里20-3 邮编:100054
客服电话:400-880-9888
投诉电话:010-80864105、4106
全国渠道合作伙伴招募电话:010-80864274