電商賬戶登錄安全

 　　今年央視的3.15晚會，曝光了Wi-Fi熱點的安全問題。隨著免費Wi-Fi熱點的普及，不少人的賬號存在被別人截獲的風險，在某些情況下，甚至可能突破HTTPS協議竊取用戶的賬戶信息。如今，不少電商網站(如京東、蘇寧)就采用的是HTTPS協議進行數據傳輸，信息這麼容易被捕獲，那麼上網的安全又該如何保障呢?

　　【解題思路】

　　京東和蘇寧采用HTTPS協議登錄後，默認不再使用安全登錄控件(圖1)。HTTPS協議相比原來使用的HTTP協議，在數據的傳輸過程中，對數據本身進行加密，賬戶信息更加安全可靠。HTTPS通常采用的是先進的TLS1.2協議(圖2)，目前，尚未有有效的破解方法。所以在理論上，它比安全控件更安全可靠。

 

 

　　本來是安全的協議，正確使用能夠有效防止賬戶信息洩露。可是因為這些電商為了考慮用戶的體驗和進行精准分析等方面考慮，采用的頁面不是純的HTTPS頁面，而是在頁面中包含了其他非加密的HTTP頁面等不安全的資源。或者采用了過時的加密技術。這樣導致用戶賬戶非常容易被捕獲。

　　知道了賬戶信息丟失的原因，解決方法就可以很容易找到了。當然，最好的方法是這些網站采用純HTTPS頁面，不過這不是我們能夠解決的事情。所以如果你認為網絡不太安全，或者有懷疑，那麼可以自己先采取一些安全措施，畢竟防人之心不可無。

　　【解題方法】

　　找回丟失的安全控件

　　安全控件登錄的口令信息是被加密的，能夠有效避免口令被捕獲。安全控件的作用有兩個方面：保護輸入和加密數據。根據平台的使用不同，可以使用ActiveX或者Java applet實現。目前常見的安全登錄普遍采用HTML制作頁面，然後調用ActiveX控件輸入賬戶信息，該控件通常稱為安全控件。如果用戶點擊提交按鈕的時候，客戶端對口令進行加密，然後對加密後的口令在網絡中進行傳輸，這樣能夠有效避免用戶賬戶信息洩露。

　　可是就是這麼一個安全的好工具，為了客戶體驗更好(安全控件需要下載)，好多網站默認不使用安全登錄控件，也就是說，即使你下載安裝了安全控件，在登錄的時候，也不會出現安全控件選擇，導致好多人以為安全控件失效，從而徹底拋棄這一有效工具。

　　其實，如果使用IE調試模式，多次切換浏覽器模式，讓網站感覺到客戶端可能處於不安全的網絡環境。服務器就會讓安全登錄控件重新出現，從而找回安全控件。

　　首先打開浏覽器，按下F12鍵，切換浏覽器模式和文檔模式(圖3)。多次切換後，會重新出現安全控件選項(圖4)。如果沒有下載，單擊下載，安裝成功後即可使用(圖5)。如果已經安裝過，則可以直接使用。

 

 

 

　　混合浏覽器調出安全控件

　　如果上述方法不會用，那麼在你的計算機上安裝不同內核的浏覽器，輪流啟動不同的浏覽器，也可以讓安全控件出現。筆者在計算機上安裝了火狐浏覽器、谷歌浏覽器，安全控件立即就現身了。值得注意的是，谷歌浏覽器的安全控件，需要自己的許可才能運行(圖6)。

 

　　數字證書登錄

　　數字證書是網絡的身份證，使用數字證書公鑰加密的信息，除了數字證書的持有人之外，別人無法解密信息。就像打電話，特定的電話號碼，只有號碼的持有人能夠接到電話。因此，使用電商發行的數字證書進行登錄，可以有效避免信息被截獲。

　　例如，支付寶數字證書是使用支付寶賬戶資金的身份憑證之一，可以加密信息並確保賬戶和資金安全(圖7)。這種數字證書是個人數字證書，下載後會安裝到電腦上。在本地計算機安全的情況下它能夠保證賬戶安全，但是千萬不要在公用電腦上或者不安全的電腦上安裝數字證書。如果不能保證安全，那麼就要拋棄數字證書這種方式，否則會帶來更嚴重的問題，因為這個時候，登錄靠的是數字證書而不是口令。

 

　　小提示：

　　值得注意的是，還有另外一種數字證書，這種數字證書僅僅保護賬戶關鍵信息修改的安全(圖8)。申請數字證書後，只能在安裝了數字證書的電腦上進行修改手機、修改支付密碼等賬戶安全操作。注意，這種證書，並不能保護賬戶本身的安全。