页面

分类

第四届“PSI-新语丝”网络科普奖《如何让你的电子钱包更安全》一文质量低劣

2016/3/17, by wingfire ; 分类: 科普; 0 comments

《新语丝》编辑部:

您好!

微博@周服老于 http://weibo.com/yubingchao 的账号下有大量的民科言论遭到网友的嘲讽,我(@不许说话)亦有参与。此人辩称自己是新语丝科普三等奖获得者,水平是受到新语丝肯定的。我因此查阅了他获奖的这篇文章,《如何让你的电子钱包更安全》。该文曾获2015年第四届“PSI-新语丝”网络科普奖活动三等奖。文章链接为http://www.xys.org/xys/netters/psi4b/zhoufulaoyu.txt。结果发现此文质量低劣,名不副实。@周服老于 非但缺乏基本科学素养,也缺乏IT素养,文章中充斥着低级的概念错误和事实错误。随后我在微博上指责其文章质量低下,有损新语丝名声。但对方非但不知收敛,反而打着新语丝的招牌,变本厉。我作为IT从业人员,虽然安全领域并非所长,但自觉作为新语丝和方舟子先生科普的受益者,既然发现了这种事,应当勉力而为,为维护新语丝的声誉,特向贵站举报该文。

让这样的人获奖,有害于科普事业;让这样的文章获奖,有损于新语丝科普奖的声誉。因此恳请《新语丝》编辑部重新审查该文章,并考虑撤销其三等奖。我相信,撤销这种劣质文章不但无损于新语丝科普奖的声誉,反而会提高新语丝科普奖的地位。

附上我对周文中错误的列居和简单分析。限于能力,或有不当之处,仅供参考。

此致!

@不许说话
02/23/2016


口令认证是最常见的一种信息认证方式,把口令做成密文,就成了密码认证,口令也有不是密文的吗?当然有。比如触摸屏手机的手势认证,也是一种口令。其他口令认证手段还有预设问题答案,图形验证码等。密码是静态口令,图形验证码是动态口令,二者混使用能增加黑客软件破解难度。

  • 在计算机领域,我们把一段信息经过加密运算后产生的结果称之为密文。密码虽然有个密字,但这是秘密的意思,因为密码需要秘密保存,而非强调加密(虽然也常常加密)。如果看相关的英文术语,区别非常清楚,密码是password,登陆认证是authorize,密文是cipher text,加密是encrypt,毫无混淆的余地。

  • 不管口令是否加密,都可以用于密码认证。密码很重要,但也不都是加密存储。最近几年CSDN、网易等多家网站曾曝出大规模密码泄漏事件,这些事件中的网站都是明文存储用户密码的。但我们并不认为CSDN等网站的登录不是密码认证。至于触摸屏的手势认证,主要只是密码输入方式的改变。

  • 动态口令是国内的常见说法,更准确的翻译是一次性密码,参见https://en.wikipedia.org/wiki/One-time_password 。这种一次性密码通常是动态生成的,因此也被称为dynamically generated password。常见应用如:网银、支付宝等在交易时通过短信发送给用户的验证码;Google账号启用两阶段登录后使用的验证码;企业VPN使用的RSA设备或程序生成的动态密码等等。

    图形验证码是指CAPTCHA(”Completely Automated Public Turing test to tell Computers and Humans Apart”),是用来区分人和自动运行的软件的(俗称机器人或Bot)。良好设计的CAPTCHA确实能增加黑客破解信息系统的难度,因为它使得机器人更难编写,且运行缓慢,但从未有专业文章称图形验证码是口令或密码的。

钓鱼必须要在能上网的设备上才能达到目的,以前都是向用户发邮件,现在因为智能手机可以上网,向智能手机发短信钓鱼有泛滥的趋势,特别是安全性能最差的Android手机,最容易中招。避免被钓鱼的最好方法就是手机短信中的链接一律不要去点击。

  • 大量的钓鱼(Phishing)欺诈通过网络完成,但网络并不只包括网页。邮件、短信、即时通信工具也是被广泛使用的。在国内,使用电子邮件处理私人事务并不普遍,而以短信、电话、QQ等为工具的钓鱼比例相当高。

    在智能手机上打开网页虽然有风险,但并不比在PC上来得更高,反而风险要低一些。合理使用手机上网还可以提高安全性,例如在PC上付款时,支付宝可以选择通过手机支付,这时手机就会收到支付宝发送的短信,点击短信中的链接,完成支付操作,这比全部操作在PC上完成更安全。

    因此,防范钓鱼没有简单的方法,用户一方面要提高警惕,另一方面要了解一些具体防范措施。搞清楚所收到信息的来龙去脉,不要有天上掉馅饼的幻想,可以避免大量的钓鱼诈骗。另外,电子邮件、即时通信都是钓鱼传播的重要形式,只防范短信是不够的。

那有没有不容易复制的认证方式呢?有!令牌认证就是。令牌认证是一种物质认证方式,认证信息被加密存储在令牌里面,比如银行卡就是一种令牌,一代银行卡用的是磁条卡,加密信息存储在磁条里面,现在升级为二代IC卡银行卡,IC卡的加密芯片存储的信息量更多,加密更加复杂,更难破解,所以安全性也更高。可是银行卡需要特定的刷卡设备才能解密,不方便在网上银行上用,市场决定技术方向,U盾诞生了。U盾不需要特定的解密设备,但是需要特定的解密程序,为了让浏览器支持这种解密程序,就需要给浏览器安装一个插件,每次转账的时候,就通过插件触发启动解密程序,查找U盾是否存在,验证U盾是否有效。

  • 所谓令牌认证中的“令牌”( security token)可以是硬件或软件,其中绑定了专属于某个用户的某些信息,再综合时间等一些变化的信息,通过算法生成一次性口令,也就是动态口令。这意味令牌必需具备计算能力,要么有CPU,要么有相应的算法电路。磁条式银行卡不具备计算能力,因此不可能成为令牌。

    IC是集成电路卡,并不一定有CPU。虽然IC银行卡出于安全性需要,具备较强的加密解密能力,但目前CPU卡也不普遍,也没有这方面的标准或规范。虽然技术上让IC银行卡成为令牌是可能的,但是目前并没有谁这样做,也就不能称银行卡是令牌。

  • “一代银行卡用的是磁条卡,加密信息存储在磁条里面”,这是事实错误。一代银行卡(磁卡)的信息是明文存储在磁道中的,并没有加密,这一点广为人知。人民银行的技术规范、相关的国标和国际标准都是一致的。

  • U盾不是一种简单的敏感信息存储载体,而是一种具有独立计算能力的专用计算机,它自身就是一种加密解密设备。U盾的安全体系是基于RSA的,其中秘密存储了个人私钥和银行的公钥,因此,它既能验证一段信息是不是该银行产生的,也能产生一段不可篡改的信息来表明自己的身份。在这个过程中,浏览器只是通过控件完成必要的数据传送,而不是做加密解密。外部程序不能随意访问存储在U盾中的公钥和私钥,否则安全性就会遭到破坏。

    因为作者对密码、U盾以及动态密码的理解错误且非常混乱,因此导致随后所做的安全性比较充斥着逻辑错误,文不对题,这里不再不一一列举。   

    什么叫做生物信息认证?就是将生物的体征提炼成信息,做成密文,预先存储起来,认证时将密文和实时获得体征信息进行对比的一种认证方式。指纹识别,脸部识别,眼球识别等都属于生物信息认证,要实现这些认证,就需要预先采集指纹脸部或眼球信息存储起来,便于认证是比对。

    从使用角度来看,口令认证便携但易复制,令牌认证难复制但不便携,生物信息认证就综合了令牌认证和口令认证的优点,便携但不易复制。

    从验证角度来看,口令认证验证的是你知道什么,令牌认证验证的是你拥有什么,生物信息认证验证的是你是什么。犯罪分子可以化身黑客在网上偷口令,夜黑风高时潜入你的居所盗令牌,但是不会像孙悟空一样变出一个一样的你。

    因为有着无可比拟的优势,未来的认证趋势就是生物信息认证。   

  • 生物信息通常是比较复杂的。以指纹为例,一般是预先将采集来的指纹图像进行特征提炼,提炼的结果称之为特征模版,存储在安全的位置。在登录或授权过程中,会再次采集用户的指纹,和预先存储的特征模版进行比对。这个比对不同于计算机编程中常见的序列比较,而是有较复杂算法的,这个比较过程只接受明文的指纹特征数据。因此,这个指纹比较过程必须在安全的环境中完成。对于单机(PC,手机等),要受到操作系统的隔离保护;对于网络,也可以在服务器端完成。如果是在服务器上完成,再次采集来的数据还是要通过传统的手段加密后才能发往服务器,否则就有被窃听的风险。

    说“将生物的体征提炼成信息,做成密文”尚可算表述不清,因为比对前可以解密。“认证时将密文和实时获得体征信息进行对比”则说明作者根本不了解生物特征信息是如何进行比对的。

  • 复制已经采集好的生物信息非常简单,盗窃人的生物信息用语计算机系统也未必困难,复制指纹就非常容易。一个广为人知的事实就是上海的某些驾校用乳胶复制学员的指纹,代为考勤,可以让学员尽快凑满训练时间。我大约在十年前就已经目睹,至今网上还可以搜到相关信息。通过玻璃、光滑的桌面、门锁把手盗窃指纹并非是只存在于电影中的传奇情节,而是实实在在发生着的事情。

    从计算机信息处理流程和安全的角度来说,生物信息有其优势,方便、随时取用、不易灭失、没有弱口令那样明显的薄弱点。但是缺点也不少,复杂、性能低下、独立运用受限、一旦泄漏难以更换。“变出一个一样的你”是完全可能的,而且未必困难。说“未来的认证趋势就是生物信息认证”完全是不知所谓。

总而言之,因为作者的专业知识缺乏,术语理解有重大偏差和错误,导致相关的论述显得缺乏逻辑,荒唐可笑,也会误导读者。新语丝作为科普和求真的阵地,授予这样的一片不合格的文章三等奖,是有损于自身的声誉的,也是有害于科普的。恳请编辑部重新审查此文。

添加评论:

 
 the email would not displayed
 

您可以使用 Markdown 语法。

您必须启用浏览器的 JavaScript 功能才能发表评论。