个人信息安全(三):https和无线局域网安全

Xizhi's Blog

当你浏览网页的时候,或许会注意到有的网址是http://开头的,而有的则是https://开头的。对于前者,所有的数据都是明文传输的,没有经过任何的保护,正如我在前一篇中向你展示的Sina的登录密码。而后者,则是使用TLS/SSL进行的加密,安全性较高。那么这个TLS/SSL到底有多安全呢?

简单的说,TLS/SSL做了两件事。首先是确保你访问的网站是他所声称的那一个。如果你受到DNS劫持攻击,当你想访问good.com的时候,黑客给你了一个虚假的地址,导致你实际访问的是evil.com。没有TLS/SSL的保护,你很难,甚至根本无法发现这一点。然后一旦你在这个虚假的网站上不幸的输入了用户名和密码,杯具就由此产生了。

但是,如果你使用了TLS/SSL,浏览器在尝试打开该网站时,就会要求对方提供证据,表明他就是good.com。然后对方会回馈一个包含其身份和其他信息的证书,该证书被某个受信任的机构签名。浏览器接收到该证书后,就根据预安装的根证书对其进行验证。如果通过验证,就表明你访问的网站确实是good.com;否则,将会结束链接。

可见,TLS/SSL的安全性完全基于预先安装的根证书。但是,如果你一旦不幸的安装了不可信任的根证书,黑客就能顺利的伪造证书,冒充成good.com,而你对此则将一无所知!因此,当中国政府控制的CNNIC的证书被添加到FireFox时,才会引起中国网民的强烈反对(点击这里查看如何卸载)。

TLS/SSL做的第二件事就是加密你和网站之间传输的所有数据。当你的浏览器成功的验证了要访问的目标网站,就会和对方协商一个会话密钥,然后对整个会话进行加密。这样依赖,即便有黑客在旁边偷听,截获你所有的数据,也无法从中破解出任何有用的信息。自然,GFW之流也就无法根据关键字过滤此类流量,唯一的办法就是IP或者端口封锁。但需要注意的是,尽管在传输过程中进行了加密,服务器仍然完全清楚你的数据,因此,使用值得信任的服务是至关重要的。

(如果你对TLS/SSL的原理感兴趣,可以看看这里;如果你想了解更多细节,就请参看相关的RFC文档。尽管TLS/SSL看上去是牢不可破,但研究人员还是在去年底发现了其具有一定的漏洞,并能够被用以盗取Twitter密码。不过还好,该漏洞已经得到修复。)

虽然TLS/SSL最常见的应用是加密HTTP流量(比如Google现在提供的加密搜索),但其也能够被用来加密其他服务,比如用于即使通信的XMPP协议(GTalk就是采用的该协议,并进行了加密,但中文版除外)、收发邮件的SMTP和IMAP、POP3协议等等。

然后说说无线局域网(WLAN)的安全。中国有好多专家大嘴巴都在说,我们平时使用的无线局域网标准WiFi不安全,中国的WAPI标准更安全。事实真是如此吗?人家老外就这么不在乎安全了?!

事实上,WiFi是IEEE 802.11协议的一个实现,早期使用WEP作为安全协议。但WEP在2001年就被爆出安全漏洞,并在2003年被 WPA(WiFi Protected Access)取代。需要指出的是,WPA是在802.11i开发中产生的一个过渡协议,能够通过固件更新与老设备兼容。完整的802.11i实现则被称为WPA2,从2006年3月开始强制执行。到了2008年底,在被废弃2年半之后,WPA的第一个漏洞才被研究人员发现。而使用AES算法进行加密的WPA2/CCMP,至今仍然没有任何漏洞被发现

那为啥现在市面上有这么多WiFi破解工具呢?两个原因。第一,大量的无线路由器厂商默认采用WEP进行加密,甚至根本不开启任何加密,而绝大多数用户并不知道WEP早就被淘汰,或者根本不知道加密的重要性。第二个原因,就是很多用户使用了相当简单的密码,导致被暴力破解。

因此再次提醒大家,使用复杂、难以猜测的密码,是非常重要的


系列文章链接
个人信息安全(一):计算机安全
个人信息安全(二):网络账户安全
个人信息安全(三):https和无线局域网安全
个人信息安全(四):信息过滤与反过滤

1 条评论:

yzyfish 说...

文底前两篇文章的链接无效……