与我们生活息息相关的很多密码都很短,手机上的微信支付密码,银行卡密码,只有6位。面对“暴力破解”,它们是安全的吗?
答案:是安全的。为什么这么说呢?我们具体来说一下。
01
物理上的限制
可能有的人会纳闷了:为什么规定这些密码一定是6位呢?其实这更多是出于使用方便的角度考虑的。有一系列科学研究结论显示,人在无压力的时候,轻松记住的一串数字的长度,大约就是5-7位,所以就取这中间值6位,当作密码的长度。因为只有6位,所以排列组合的可能性就不够多,理论上来说,暴力破解是一下子就能把它攻破的。但银行早就想到了这一点,所以又增加了一些物理上的限制。比如说,连续5次密码输入错误,银行卡就会被锁住,只能用主人的身份证去柜台解锁。所以你看,虽然可能性少得可怜,但暴力破解是不可能的。
02
使用了RSA加密
RSA加密法是第六代加密法。它的加密方法说特殊也不特殊。
下面我用打比方的方式,来说说具体的加密过程:
张三有很多把锁,每把锁都有两把不同的钥匙,一把专门用来上锁而不能开锁,另一把专门用来开锁而不能上锁。
张三把那把用来上锁的钥匙,尽量多的赠送给每个可能和她通信的人。这些人拿到钥匙后,就可以把要跟张三说的话写下来,再用张三给的钥匙把锁锁上,然后寄给张三。
张三拿到锁好的盒子后,用另外一把只有她才有的专用钥匙打开盒子,就可以看到信里的内容了。
这个过程的关键点就是,对同一把锁来说,上锁和开锁用的是两把不同的钥匙,而之前我们说的所有加密法都是使用相同钥匙的。
所以之前的都叫“对称钥匙”,而RSA因为使用了不同的钥匙,所以叫“非对称钥匙”,或者“非对称加密”。
说它不特殊,因为它的加密原理也是增加运算量,增大破解的难度。这个难度有多大呢?想要破解RSA加密,大约需要把全球计算机的算力集中起来算上几亿年的时间才行。
现在我们用的一切带有支付功能的软件,比如支付宝、微信,它在支付环节也都是做加密的,而且移动端一般用的都是我们讲的RSA加密,安全性非常高。
即便在不安全的、免费的Wi-Fi环境下,哪怕有黑客获取了我们支付密码的这段信息,他也没办法。因为这段信息,是被支付软件自带的RSA加密技术保护着的,想破解依然是难上加难。
03
安全漏洞更多来自于人为的操作
比如在手机上输入数字或者图形密码时,理论上是安全的。原因刚才说了,和解锁相关的动作、跟密码有关的数据,全都被RSA加密了。但是,要确保足够安全,你得保证输入密码时没被任何人看到。而这一点不是每个人都能做到的,毕竟这样的操作太频繁了。
历年最容易破解的一些密码
像9个点位的图形解锁,虽然能提供40万种的图案可能性,但有经验的贼离很远就能通过你的动作趋势,判断出你划屏的动作。甚至在2015年,还有黑客做出了一套划屏动作识别系统。可以在隔2.5米,角度很偏的情况下,5次之内猜对图形解锁的图案。就算黑客没能掌握这些识别技能,他们只是试一试那些划屏常用的动作,像口字型、Z字型、C字型等,多试一试,也至少有1/3的手机的图形解锁是可以被破解的。同理,数字按键解锁也一样存在这个问题。要不就是容易被人看到密码,要不就是设置得太简单,容易被人试出来。
所以一切这些,都属于人们操作中出现的漏洞。
怎么解决呢?可以改用指纹、声纹、面部识别来解锁或者支付。
现在的手机中,用来比对生物特征的这部分数据,是单独存储在一个区域的。
首先,这个区域是不能被轻易读到的;其次,存储到里面以后,也是加密的;再次,存储的加密后的这些生物特征,并不是完整的特征数据。以指纹识别来说,那个特殊存储块里存储的指纹信息,不是全部指纹的样子,而只是全部指纹信息的一部分,比如说10%。那到底是存了哪根手指指纹的哪10%呢?它其实是随机的。这10%的特征,只用来核对跟当前按过来的指纹是否吻合。所以即便有超级牛的黑客,把这部分生物特征的数据想办法读到了,也解密了,也依然不能还原一个人的指纹。
声纹和面部识别,也都是基于同一种原理。这样,安全性就更高了。
