前几天3·15晚会曝出免费WiFi可窃取邮箱网银等密码的消息,引起很多不明真相的小白用户的担忧:蹭个免费WiFi,邮箱密码就真的那么容易被窃取了吗?经过对手机系统自带邮箱应用和市场主流手机邮箱APP的测试,小编可以负责任的告诉大家不用过于担忧,为什么?3·15晚会上这个看似专业的问题,其实打个简单的比方大家就明白了。
前几年大热的一部谍战剧《潜伏》相信大家都还记得,其中有一个反复出现的场景:当时余则成每次接受中共领导指示时,都是在家中一台收音机前聆听电码并记录,然后拿出一本叫《蝴蝶梦》的书来翻译密码,转化成汉字,获得行动指令。换句话说,当时余则成和党组织之间的通讯,是约定了将《蝴蝶梦》作为解码列表,对电码进行了再加密。这里面,电台传输的电码就是一种明文密码,懂摩斯密码之类电码的专业人士都可以轻易监听并记录下来(也就是余则成记录的那一串数字),但是,如果敌人不知道解码列表,那么即使他们截获了电码,也只是一堆没有意义的数字,根本无法破译。
那么,相对应的,邮箱领域的密码加密是怎么实现的呢?其实,密码泄露和不泄露之间,其实就隔了一本《蝴蝶梦》的距离。在谈这个问题之前,我们先用大家常见的手机邮箱客户端做一些测试。
我们选取了比较常用的邮箱系统:Android系统的自带邮箱、iOS系统的自带邮箱,以及目前比较主流的手机邮件客户端、网易旗下的邮箱大师APP,看一下这些应用是否真的会泄露邮箱信息。
先看一下Android系统的原生邮件应用,我们进入安卓手机原生电子邮件中,登录帐号,并查看建立WiFi的机器上的监听日志,竟然真的找到了来自该手机登录邮箱“明文”传输账号和密码的日志!
这就是类似3·15晚会上,那群坐在小黑屋的“黑客”获取现场观众的邮箱帐号密码的过程了。
接着,小编继续测试iOS8系统的原生邮件应用,结果很高兴地发现,iOS8系统自带的邮箱应用,无论在登录还是在收发邮件过程中,都进行了加密。
那么,手机邮箱APP邮箱大师APP又做得怎么样呢?小编用邮箱大师APP登录了邮箱帐号并且发送邮件。
同样的,查看监听日志,截获的信息也是全部经过加密的。
那也就是说,通过网络其实是可以进行安全的信息传输的。那到底是什么将这个过程加密了呢?换句话说,给邮箱密码加密的《蝴蝶梦》究竟是什么?要弄清楚这些,我们得从基本的网络传输协议说起。
邮件收发,通常采用的是最基本的POP3/SMTP协议,他们都是建立在 TCP/IP协议上的一种邮件服务,但是使用TCP/IP协议传输是不加密的通信,所有信息明文传输,由此可导致第三方窃听,篡改或者冒充的风险。这就类似于电报电码,专业人员可以轻易截获。
基于这些问题,SSL/TLS应运而生,SSL(Secure Sockets Layer,安全套接层),及其继任者 TLS(Transport Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议,用SSL/TLS进行安全的TCP/IP连接。这就类似于余则成和党组织用来加密的那本《蝴蝶梦》。
由此可见,在晚会上所演示的被获取到用户邮箱密码的终端,应该都是在未开启SSL加密的情况下进行网络传输的, 例如Android4.4.2原生邮件应用默认是没有任何加密处理的,当用户使用这样的终端时,就会导致使用“明文”传输内容,如下图。
看到这里,大家就应该已经明白了,邮箱密码是否会被泄露,网络数据传输是否安全,最核心的问题就在于:有没有用SSL进行加密。密码泄露和不泄露之间,其实就隔了一本《蝴蝶梦》的距离。也就是说,如果敌人截取了电码,但是用了《康熙字典》来破解,那完全就是白费力气。
而解决方法也很简单,勾选SSL/TLS加密设置即可。比如,在安卓机上勾选SSL加密选项。
而对于一些安全级别高的客户端来说,比如iOS8原生邮件应用和邮箱大师APP,都是默认使用SSL的,所以无需手动勾选。
不过,这一切还有个非常非常关键的前提,那就是你使用的电子邮箱本身是否支持SSL。如果你的电子邮箱本身不支持SSL,那么你在客户端上勾选了也没有用。所以,最好选择大品牌的电子邮件运营商,比如Gmail或者国内的网易邮箱等。
