電商賬戶登入安全

 　　今年央視的3.15晚會，曝光了Wi-Fi熱點的安全問題。隨著免費Wi-Fi熱點的普及，不少人的帳號存在被別人截獲的風險，在某些情況下，甚至可能突破HTTPS協議竊取使用者的賬戶資訊。如今，不少電商網站(如京東、蘇寧)就採用的是HTTPS協議進行資料轉送，資訊這麼容易被捕獲，那麼上網的安全又該如何保障呢?

　　【解題思路】

　　京東和蘇寧採用HTTPS協議登入後，預設不再使用安全登入控制項(圖1)。HTTPS協議相比原來使用的HTTP協議，在資料的傳輸過程中，對資料本身進行加密，賬戶資訊更加安全可靠。HTTPS通常採用的是先進的TLS1.2協議(圖2)，目前，尚未有有效破解方法。所以在理論上，它比安全控制項更安全可靠。

 

 

　　本來是安全的協議，正確使用能夠有效防止賬戶資訊泄露。可是因為這些電商為了考慮使用者的體驗和進行精準分析等方面考慮，採用的頁面不是純的HTTPS頁面，而是在頁面中包含了其他非加密的HTTP頁面等不安全的資源。或者採用了過時的加密技術。這樣導致使用者賬戶非常容易被捕獲。

　　知道了賬戶資訊丟失的原因，解決方案就可以很容易找到了。當然，最好的方法是這些網站採用純HTTPS頁面，不過這不是我們能夠解決的事情。所以如果你認為網路不太安全，或者有懷疑，那麼可以自己先採取一些安全措施，畢竟防人之心不可無。

　　【解題方法】

　　找回丟失的安全控制項

　　安全控制項登入的口令資訊是被加密的，能夠有效避免口令被捕獲。安全控制項的作用有兩個方面：保護輸入和加密資料。根據平台的使用不同，可以使用ActiveX或者Java applet實現。目前常見的安全登入普遍採用HTML製作頁面，然後調用ActiveX控制項輸入賬戶資訊，該控制項通常稱為安全控制項。如果使用者點擊提交按鈕的時候，用戶端對口令進行加密，然後對加密後的口令在網路中進行傳輸，這樣能夠有效避免使用者賬戶資訊泄露。

　　可是就是這麼一個安全的好工具，為了客戶體驗更好(安全控制項需要下載)，好多網站預設不使用安全登入控制項，也就是說，即使你下載安裝了安全控制項，在登入的時候，也不會出現安全控制項選擇，導致好多人以為安全控制項失效，從而徹底拋棄這一有效工具。

　　其實，如果使用IE偵錯模式，多次切換瀏覽器模式，讓網站感覺到用戶端可能處於不安全的網路環境。伺服器就會讓安全登入控制項重新出現，從而找回安全控制項。

　　首先開啟瀏覽器，按下F12鍵，切換瀏覽器模式和文檔模式(圖3)。多次切換後，會重新出現安全控制項選項(圖4)。如果沒有下載，單擊下載，安裝成功後即可使用(圖5)。如果已經安裝過，則可以直接使用。

 

 

 

　　混合瀏覽器調出安全控制項

　　如果上述方法不會用，那麼在你的電腦上安裝不同核心的瀏覽器，輪流啟動不同的瀏覽器，也可以讓安全控制項出現。筆者在電腦上安裝了Firefox瀏覽器、Google瀏覽器，安全控制項立即就現身了。值得注意的是，Google瀏覽器的安全控制項，需要自己的許可才能運行(圖6)。

 

　　數位憑證登入

　　數位憑證是網路的身份證，使用數位憑證公開金鑰加密的資訊，除了數位憑證的持有人之外，別人無法解密資訊。就像打電話，特定的電話號碼，只有號碼的持有人能夠接到電話。因此，使用電商發行的數位憑證進行登入，可以有效避免資訊被截獲。

　　例如，支付寶數位憑證是使用支付寶賬戶資金的身份憑證之一，可以加密資訊並確保賬戶和資金安全(圖7)。這種數位憑證是個人數位憑證，下載後會安裝到電腦上。在本機電腦安全的情況下它能夠保證賬戶安全，但是千萬不要在公用電腦上或者不安全的電腦上安裝數位憑證。如果不能保證安全，那麼就要拋棄數位憑證這種方式，否則會帶來更嚴重的問題，因為這個時候，登入靠的是數位憑證而不是口令。

 

　　小提示：

　　值得注意的是，還有另外一種數位憑證，這種數位憑證僅僅保護賬戶關鍵資訊修改的安全(圖8)。申請數位憑證後，只能在安裝了數位憑證的電腦上進行修改手機、修改支付密碼等賬戶安全操作。注意，這種認證，並不能保護賬戶本身的安全。