国内的银行软件搞所谓的“安全键盘”是不是有什么大病?

摘要:记得高中那会儿,公安部门以“安全”之名,强行推广了个网吧实名管理系统。嘿,没用几天,我就给它来了个“大变身”,实现了在网吧“白嫖”上网的自由。那系统啊,居然用本地Access数据库存会员、余额信息,密码还明晃晃地写在exe里。我打开一看,嘿,给自己的账户改改余

国内那些银行软件搞出的“安全键盘”,是不是集体吃了啥“神奇小药丸”,怎么感觉它们的行为有点“不在线”呢?

好多回答啊,最大的槽点就是:

它们完全不当回事儿,咱们的选择权就像被风刮跑了一样。

那些大权在握的部门和国企,最擅长的就是把安全性搞得跟纸一样薄的产品,硬要冠以“安全”的大名,塞给咱们。

我这上网摸爬滚打20多年,安全这块儿,我还是个“纯情小白”。但就算我这“菜鸟级别”,也曾经手撕过几款平台,它们啊,背景都差不多。

记得高中那会儿,公安部门以“安全”之名,强行推广了个网吧实名管理系统。嘿,没用几天,我就给它来了个“大变身”,实现了在网吧“白嫖”上网的自由。那系统啊,居然用本地Access数据库存会员、余额信息,密码还明晃晃地写在exe里。我打开一看,嘿,给自己的账户改改余额,网吧上网从此不要钱。而这玩意儿还向网吧收费,之前网吧用的美萍、万象,哪有这些低级漏洞啊。因为强制推广,高度统一,我在各个网吧那是如鱼得水。

后来啊,我在公安部门做协警,各种内部平台、工具,bug多得跟米似的,但签了保密协议,我就不多说了。本地的市民投诉平台,有个网站可以查自己的投诉记录,姓名、通话时间、投诉内容啥都有。

我一上手,就发现那手机短信验证码登陆界面,简直就是“摆设”,连个鉴权过程都没有。提交验证码,就跳个url地址,我直接手动输入,投诉记录全看了。输入别人的手机号,嘿,别人的投诉记录也随便看。

疫情期间,又来个统一的网络平台登记学生信息,鉴权就靠个身份证号码,其他啥都不用。我立马发现问题,写了个脚本,穷举身份证号,几千名孩子的信息就到手了。这简直就是给人贩子送“大礼包”,我打电话给责任单位,要求封堵漏洞,结果到疫情结束都没动静。

我这安全领域的“门外汉”,都觉得这些强制推广的网络设施安全性跟纸一样。那专业黑客眼里,问题得严重到啥程度啊?

还有一种情况,就是国内这些部门喜欢“自己挖坑自己跳”。国际上或者国外,已经有成熟可靠的安全方案了,它们非得另起炉灶,买套国产的,还不去调查已有的方案,不吸取别人的教训,非得把别人走过的弯路再走一遍。

其实啊,软件里的OTP、TOTP双因素认证方案,才是便捷和安全的完美结合。而国内呢,普遍用短信作为双因素认证,又慢又不靠谱。

安全键盘、乱序键盘,在我眼里,就是“花架子”,和普通键盘没啥两样。黑客才不会去监听键盘呢,人家直接监听文本框或http数据。这玩意儿防不住黑客,只能防你身后站个“人肉偷窥者”。但因为这个全新的键盘布局,你输入速度慢了,反而更容易被偷窥。

还有啊,我很少在键盘上输入密码,都是用密码管理工具,生成随机密码,让这些工具帮我输入。但这种设计,往往跟这些工具“打架”。所以啊,这种设计,对安全性的下限提高有限,但对安全性的上限,那可是大大的限制。

我不反对它的存在,但反对它强制使用。任何用“安全键盘”的app,都应该让用户能关掉它,改用更靠谱的专业密码管理工具。

我都这么努力地说自己是“信息安全小白”了,可好多评论就是不信。如果你们还不信我是小白,那只能说明你们的安全意识太“呆萌”了,对信息安全领域的风险严重低估了。因为啊,你们严重低估了能达到这种水平的潜在攻击者的数量。

以下是某呼看到的网友回答,也挺有意思的。

最后来个总结吧:

喜欢我就关注我以下,感谢支持,感谢点赞,爱你呦~~~

来源:有趣的科技君

相关推荐