用公共WiFi上网会危害银行账户安全吗？ | 科学人 | 果壳网 科技有意思
用公共WiFi上网会危害银行账户安全吗？
使用公共WiFi上网会被窃取个人信息和密码吗？使用公共WiFi上网使用网银安全吗？
本文作者:奥卡姆剃刀
流言： 【近日有黑客自曝：在星巴克、麦当劳这些提供免费WiFi的公共场合，用一台Win7系统电脑、一套无线网络及一个网络包分析软件，15分钟就可以窃取手机上网用户的个人信息和密码。国内某知名安全机构的工程师承认，这个真可以做到。网银、支付宝密码……你懂的 】
真相： 这是从昨天开始微博上疯传的一个帖子。其实，无论你使用电脑、iPad、还是手机，只要通过WiFi上网，数据都有可能被控制这部WiFi设备的黑客电脑截获到，其实也未必一定是Win7系统，信息是有可能被窃取的，当然包括未经加密处理的用户名和密码信息。但是，无论什么系统的电脑，架设了多么高级的WiFi热点，黑客都无法在用户正确操作下获取网银和支付宝密码，更不要说盗窃其中的钱了。
手机银行如何保障安全
用户可通过手机上的专门客户端程序，通过WAP方式与银行系统建立了连接，并进行账户查询、转账、缴费付款、消费支付等金融服务，这种方式被称为“手机银行”。与一般上网方式显著不同的是，其网址的头三个字母是WAP。手机银行的帐户信息是经过静态加密处理的，而且与手机绑定，假使他人盗取了你的账户信息，但其它手机上也无法操作。经与工行客服核实，他们称现在为了方便用户，允许非指定手机操作手机银行账户了，但允许操作的资金额度很低。
最重要的是，手机银行还有认证手段。加密的原理很简单，其目的是让非授权用户即使获取了数据也无法利用，而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施，用来保证数据是真实可靠的，接收者是被授权的。从采用的具体技术和算法而言，加密与认证并没有明显的区别，但从功能角度而言，两者非常不同，相互不能取代，并可通过有效配合而达到很高的安全性。
你输入了正确的帐号和密码，当进行涉及到账户资金变动的操作时，手机银行会提示你输入特定的电子口令，而电子口令卡就是一种有效的认证手段。例如下图就是张工行的电子口令卡，它发来信息C5H8，你就要在相应的输入框里输入138141，而且银行每次发来的信息都不会相同。
工行的电子口令卡
不同的银行可能会采用不同的认证方法，比如建行就是通过绑定手机发送手机验证码，但都起到了类似的作用。
个人网上银行如何保障安全
个人网上银行会采用https的加密协议来保障交易安全，结尾比你常见的http多了个s。你在电脑上输入个人网上银行地址，当跳转到账户信息输入页面时，网址栏就由http变为https了，而且在最后面还多了一只小挂锁，这寓示着通过这个页面输入并传送的数据，会被128位的加密算法进行加密，只有银行方面才能正确解密，即使这些加密数据被黑客全部拿到，也毫无用途。
网银和支付宝的https页面和小挂锁标示，点击黄色小挂锁，就会弹出“网站标识”框，可查看证书情况。
而且，用电脑通过https方式访问个人网上银行时，还有认证手段的保护，操作帐户资金限额的大小与认证手段的强度相匹配，电子口令卡的认证强度低，能操作的资金少，而U盾的认证强度大，能操作的资金就多。使用https协议与个人网上银行进行连接，这是银行为了保证安全而采取的强制措施，通过非加密协议传送的信息是不会被银行所接纳的。
用过个人网上银行的网友都会知道，使用前必须安装银行提供的安全控件，否则帐户信息栏是灰色的，根本无法输入任何信息。而手机的系统无论是苹果、安卓、还是塞班，统统都不支持这个控件，根本就安装不了，帐号自然无法输入，被盗取更是毫无可能。
有些高水平玩家会在手机上装虚拟机，这倒是可能安装上银行的安全控件并成功操作个人网上银行，这时手机就已可看作是个简版电脑了，自然也要跟使用普通电脑一样，通过https这种安全协议与个人网上银行进行数据交换。
警惕钓鱼网站
不少账户被盗的案例其实是因为访问了钓鱼网站。他们伪装成正规的银行页面或是支付页面，骗取你输入的帐户名和密码，而这未必一定需要通过WiFi热点这种方式来实现，任何上网的方式都有可能上当。不过，公共的WiFi确实提供了植入钓鱼网站的潜力，利用ARP欺骗，可以在用户浏览网站时植入一段HTML代码，使其自动跳转到钓鱼网站。从这个角度说，公共WiFi网络为用户提供了一个便利的钓鱼环境。
避免被钓要注意使用安全。一方面，需要对别人发来的网络地址多留心，因为这个地址可能非常接近如淘宝、网上银行的域名地址，打开的页面也几乎和真实的页面完全一致，但是实际你进入的是一个伪装的钓鱼网站；另一方面，尽量选择具有安全认证功能的浏览器，这些浏览器能够自动提示你打开的页面是否安全，避免进入钓鱼网站。对于智能手机用户，在下载和交易有关的客户端软件时尽量选择官方渠道下载，不要安装来路不明的客户端。
结论： 银行账户是否安全与手机是否是通过免费的WiFi上网，并没有必然的联系。使用基于WAP客户端的手机银行是安全的，用电脑通过https使用个人网上银行也是安全的，但不要用手机上个人网上银行，现在绝大部分银行也还不支持这项业务。用电脑上个人网上银行时，请核实下https和地址栏后面的小挂锁标志。
如果各大网站能在用户验证部分使用https，将能更好地保证用户身份验证过程的安全，虽然这样会给网站带来一笔开销。希望在一系列安全事件爆发之后，引起相关行业人士的重视。
P.s. 互联网没有绝对的安全，这话确实不假……
文章主要针对大家最担心的网上银行的安全性来讨论，关于公共WiFi安全性的更多讨论，请看果壳问答
里的回答和讨论。
日update：本文原文“用电脑通过https使用个人网上银行也是安全的，但不要用手机上个人网上银行，现在银行也还不支持这项业务。”经由网友@hqabc_ 指出，与原作者核对后，修正为“现在绝大部分银行也还不支持这项业务。”
特别鸣谢：
对本文的帮助。
你可能感兴趣
cnbeta上不是说 uc有这个漏洞吗
确实无线连接的数据流更容易被截获但是这跟网银等应用本身的安全没什么关系或许这样说
在局域网里也同样很危险
当年反正百度那些账号在机房随便就能嗅探到
https的数据包是使用安全连接传输的，之前也爆出了漏洞，所以还是绑定口令卡等离线安全工具比较好
的话：cnbeta上不是说 uc有这个漏洞吗UC应该是开启了加速之后它本身没有处理好用户的私密数据 在与加速服务器链接过程中泄密
这种形似于第三方转手的情形导致网站本身的安全措施形同虚设...
想想都知道是骗人的！来自
软件工程师，小众软件爱好者
的话：想想都知道是骗人的！来自果壳网iPhone客户端不算完全骗人,只是有完善加密措施的不会被窃取而已.另外UC那个算特例吧.
实际上一般的手段是在wifi热点旁边开一个自己的wifi热点，比如在starbucks里开一个叫starbucks public的热点，相对于需要验证的网络来说客人更喜欢用不需要验证的，然后直接截取私密信息，至于银行什么的，确实https加密通道的包很难弄，但是有时候只要截取一些私人的SNS社交网络账号就能实行下一步了，不管是诈骗亲友还是进一步用社会工程学去破解其它的隐私信息。。。
这类攻击好像漏了
的话：这类攻击好像漏了这个一般用于有线局域网使用ARP缓存的毒害造成类似于中间人攻击的效果
的话：UC应该是开启了加速之后它本身没有处理好用户的私密数据 在与加速服务器链接过程中泄密
这种形似于第三方转手的情形导致网站本身的安全措施形同虚设...能不能用通俗易懂的话解释一下呢（这条消息就是用UC 发的…）
电子信息硕士，高校教师，奶爸
来迟了，没翻页也算前排吧~
的话：这个一般用于有线局域网使用ARP缓存的毒害造成类似于中间人攻击的效果我家里的有线网就和wifi是同一个局域网……反正必须要加密……话说要是有人能在主干DNS上玩这个，事情就大条了……
电子信息硕士，高校教师，奶爸
我觉得应该这么理解，用电脑访问基于公共WIFI的网络，确实会比私人环境下危险，因为等于你进入了别人的局域网，并且路由权限什么的你一无所知，按WINDOWS系统来比喻，你只是user，别人可以是administrator。当然，我们只能说风险增加，因为实际上你的数据到达目标地址，要经过很多级别的路由器，可以在命令行下输入tracert +目的地址来确认经过几个级别的路由器，任何一个路由器都有同样的风险。所以一般来说网上银行更多靠如SSL、电子证书、公钥密钥系统、数字签名、各种加密……来保证安全性。幸好，要注意一点，文中所述专指手机环境。因为先天残疾，大部分因特网功能实际上是不支持的，所以大部分风险也就没有了。我测试了ANDROID下的OPERA、UC和WINDOWS PHONE 7.5下的IE（只有这两台手机……），均不能在WEB界面支持银行的SSL~所以，要是你能打开，目前来说那估计是钓鱼的。
电子信息硕士，高校教师，奶爸
的话：cnbeta上不是说 uc有这个漏洞吗UC漏洞百出，别太相信他。不过……最近似乎升级了？
科幻控，漫画翻译爱好者
的话：UC漏洞百出，别太相信他。不过……最近似乎升级了？不用wifi 也不用uc进行网上交易的人 表示不关心
电子信息硕士，高校教师，奶爸
顺便科普网吧泄露密码的一种方式，虽然方法有很多，这种比较常用，而且可以养肥了再杀。
只要网址是https 就是SSL加密过的吧。不过有些网站只有登录界面加s
以前有个插件firesheep可以傻瓜级入侵附近的无线网
电子信息硕士，高校教师，奶爸
可以通过在终端植入木马，或者在路由端植入木马，或者其他方法实现。
电子信息硕士，高校教师，奶爸
的话：只要网址是https 就是SSL加密过的吧。不过有些网站只有登录界面加s
以前有个插件firesheep可以傻瓜级入侵附近的无线网对，在http下加入ssl层，简称https。
电子信息硕士，高校教师，奶爸
的话：https的数据包是使用安全连接传输的，之前也爆出了漏洞，所以还是绑定口令卡等离线安全工具比较好不仅仅靠HTTPS，还有数字签名和SET协议，但是都不能说万无一失，包括U盾，之前有报道称可以复制U盾，但是银行方面矢口否认……离线安全工具还是必要的。
真危险来自
网络安全工程师
的话：只要网址是https 就是SSL加密过的吧。不过有些网站只有登录界面加s
以前有个插件firesheep可以傻瓜级入侵附近的无线网如果登录之后访问的数据不重要，尽在登录的过程中使用SSL就已经足够了。但是对于私人信息这样的服务，我的意见是整个过程都要使用https。
网络安全工程师
的话：顺便科普网吧泄露密码的一种方式，虽然方法有很多，这种比较常用，而且可以养肥了再杀。所以说，网吧这样的公共环境，要么开物理地址绑定，要么就用ARP防火墙。
总之共享的网络环境怎么都不安全的感觉.....
电子信息硕士，高校教师，奶爸
的话：所以说，网吧这样的公共环境，要么开物理地址绑定，要么就用ARP防火墙。我觉得网吧的网管都是折翼的计算机毕业生……即使有那个心有那个技术，你要买个带防火墙的路由器，老板也不批……引用
的话：所以说，网吧这样的公共环境，要么开物理地址绑定，要么就用ARP防火墙。
显示所有评论
(C)2016果壳网&&&&京ICP证100430号&&&&京网文[-239号&&&&新出发京零字东150005号&&&&
违法和不良信息举报邮箱：&&&&举报电话：登录账号：
6-12位英文
确认密码：
再次输入密码
不得超过10
我已阅读并接受
已有账号？
您还可选用以下方式登录：
[ 您的最新评论正在审核中，请耐心等待.... ]
就目前来说，灵异事件的定义或许就是科学暂时还...
毛主席曾经称赞刘秀是中国“历史上最会用人、最...
我们生活的地球已经有46亿年的高龄了，它孕育...
登月是全人类共同关注的大事，这代表着我们人类...
你的位置：&&
公共WiFi上网 会危害银行账户安全吗?
导读：近日有黑客自曝：在星巴克、麦当劳这些提供免费WiFi的公共场合，用一台Win7系统电脑、一套无线网络及一个网络包分析软件，15分钟就可以窃取手机上网用户的个人信息和密码。国内某知名安全机构的工程师承认，这个真可以做到。网银、支付宝密码……你懂的。
的电脑截获到，其实也未必一定是Win7系统，信息是有可能被窃取的，当然包括未经加密处理的用户名和密码信息。但是，无论什么系统的电脑，架设了多么高级的WiFi热点，黑客都无法在用户正确操作下获取网银和支付宝密码，更不要说盗窃其中的钱了。　　手机银行如何保障安全　　用户可通过手机上的专门客户端程序，通过WAP方式与银行系统建立了连接，并进行账户查询、转账、缴费付款、消费支付等金融服务，这种方式被称为&手机银行&。与一般上网方式显著不同的是，其网址的头三个字母是WAP。手机银行的帐户信息是经过静态加密处理的，而且与手机绑定，假使他人盗取了你的账户信息，但其它手机上也无法操作。经与工行客服核实，他们称现在为了方便用户，允许非指定手机操作手机银行账户了，但允许操作的资金额度很低。　　最重要的是，还有认证手段。加密的原理很简单，其目的是让非授权用户即使获取了数据也无法利用，而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施，用来保证数据是真实可靠的，接收者是被授权的。从采用的具体技术和算法而言，加密与认证并没有明显的区别，但从功能角度而言，两者非常不同，相互不能取代，并可通过有效配合而达到很高的安全性。　　你输入了正确的帐号和密码，当进行涉及到账户资金变动的操作时，手机银行会提示你输入特定的电子口令，而电子口令卡就是一种有效的认证手段。例如下图就是张工行的电子口令卡，它发来信息C5H8，你就要在相应的输入框里输入138141，而且银行每次发来的信息都不会相同。
　　真相： 这是从昨天开始微博上疯传的一个帖子。其实，无论你使用电脑、iPad、还是，只要通过WiFi上网，数据都有可能被控制这部的电脑截获到，其实也未必一定是Win7系统，信息是有可能被窃取的，当然包括未经加密处理的用户名和密码信息。但是，无论什么系统的电脑，架设了多么高级的WiFi热点，黑客都无法在用户正确操作下获取网银和支付宝密码，更不要说盗窃其中的钱了。　　手机银行如何保障安全　　用户可通过手机上的专门客户端程序，通过WAP方式与银行系统建立了连接，并进行账户查询、转账、缴费付款、消费支付等金融服务，这种方式被称为&手机银行&。与一般上网方式显著不同的是，其网址的头三个字母是WAP。手机银行的帐户信息是经过静态加密处理的，而且与手机绑定，假使他人盗取了你的账户信息，但其它手机上也无法操作。经与工行客服核实，他们称现在为了方便用户，允许非指定手机操作手机银行账户了，但允许操作的资金额度很低。　　最重要的是，还有认证手段。加密的原理很简单，其目的是让非授权用户即使获取了数据也无法利用，而认证则是对数据是否篡改、接收数据的人是不是授权用户等方面的审查措施，用来保证数据是真实可靠的，接收者是被授权的。从采用的具体技术和算法而言，加密与认证并没有明显的区别，但从功能角度而言，两者非常不同，相互不能取代，并可通过有效配合而达到很高的安全性。　　你输入了正确的帐号和密码，当进行涉及到账户资金变动的操作时，手机银行会提示你输入特定的电子口令，而电子口令卡就是一种有效的认证手段。例如下图就是张工行的电子口令卡，它发来信息C5H8，你就要在相应的输入框里输入138141，而且银行每次发来的信息都不会相同。
快来说两句吧！不用登录也能评论哦！
<img src="/qwjm/images/biaoqing/10.gif" class="bq_img" width="20"
height="20" onclick="if(document.getElementById('Textarea1').value!='快来说两句吧！不用登录也能评论哦！'){document.getElementById('Textarea1').value+='/:< ';}else{document.getElementById('Textarea1').value='/:
还能输入&&&&&&&&&&个字
火星是我们探索的重要对象之一，因为很多人相信火星上有外星生命的存在，所以，让火星披上了一层神秘的面纱。下面，我们就来揭秘火星十大真相，一起来看看吧
宇宙中有太多神奇的存在，而随着我们现代科技的进步，我们也发现了很多宇宙中的奥秘，例如：宇宙中的行星竟能&返老还童&。这究竟是怎么回事呢？下面我们就
月球是我们一直都在探索的星球之一，它与其他星球有着很大的不同，而科学家对于月球的探索也是格外重视。下面，小编就为大家盘点了有关月球的十大最新发现，
月球是目前我们看到的最奇怪的一颗星球，而人类对于月球的探索也一直都没停止过。在探索月球的过程中，我们发现了很多奇怪的现象，这些现象都在像我们反应一
从我们着手探索宇宙开始，宇宙就给我们带来了很多的未解之谜，这些谜题也一直都在困扰着我们。而随着科技的进步，我们慢慢也破解了一些宇宙谜题。下面，我们
诚聘英才意见反馈
本站不良内容举报邮箱 (C)趣闻解密 版权所有
Copyright (C) . All Rights Reserved 粤ICP备号-4
未经授权禁止转载、编辑、复制或者建立镜像。如有违反，追究法律责任！字号大小：
使用WiFi公共上网，会危害网银安全？
发布时间: 日
近日，一条微博被疯狂转发。“有黑客自曝：在星巴克、麦当劳这些提供免费ＷｉＦｉ的公共场合，用一台Ｗｉｎ７系统电脑、一套无线网络及一个网络包分析软件，１５分钟就可以窃取手机上网用户的个人信息和密码。国内某知名安全机构的工程师承认，这个真可以做到。网银、支付宝密码……你懂的”。
震惊之余，网友也在疑惑：公共ＷｉＦｉ上网，真的会危害网银的安全吗？“蹭客”又该如何防范？
记者核实：二者无必然联系，但用户仍需防范钓鱼网站
昨天（２月２９日），记者就该问题先后联系了工行、建行、广发银行。多家银行均表示：网银的安全与用户是否通过公共ＷｉＦｉ上网，并没有必然的联系。目前各家银行也未接到因使用公共ＷｉＦｉ导致信息外泄投诉，用户无需过度担忧。
工行的工作人员告诉记者，无论通过ＷｉＦｉ还是宽带上网，只能说明用户的网络环境，跟个人信息泄露没有必然关系。针对不同的用户，不同的银行会采取不同认证的方式加以防范。单就工行而言，他们会采用口令卡、Ｕ盾等多种安全控件，来核对用户预留在银行的信息。广发银行信用卡中心王经理则表示，银行对于卡的使用率和使用额度，还有一个事后风险监控系统。
而目前被广泛使用的网银派生品――“手机银行”，安全性能也颇为可靠。它由手机、ＧＳＭ短信中心和银行系统构成，须同时经过ＳＩＭ卡和账户双重密码认证之后，方可操作。使用电脑访问个人网上银行时，银行会采用ｈｔｔｐｓ的加密协议保障交易安全。“非授权用户即使获取了数据也无法利用。”
也就是说，正规操作下，网银安全无虞。但银行人士同时提醒，用户需警惕钓鱼网站伪装成银行支付页面窃取信息。宁波海曙一家ＩＴ公司的工作人员小胡告诉记者，Ｗｉｎｄｏｗｓ７系统下建一个无线网的确很简单，一些黑客可能会将其伪装成公共ＷｉＦｉ信号，在用户浏览网站时植入一段代码，使其自动跳转到钓鱼网站。“用户想避免被钓就要注意使用安全，一是不要设置自动连接ＷｉＦｉ，尽量选择具有安全认证功能的浏览器；二是对陌生人发来的邮件或网址要多加留心，并安装杀毒软件。”
来源：宁波日报
光大欢迎您
请您就近选择服务网点：
黑龙江分行
石家庄分行
呼和浩特分行
乌鲁木齐分行
/site/fxtsywyy/index.html
24小时服务热线：95595
中国光大银行版权所有
互联网服务信息备案编号：京ICP备号