沒有完美的密碼，沒有完美的防護

二月末，百度移動搜索和亞馬遜服務器先后出現故障，造成短時間內訪問癱瘓。歲末年初，京東被曝出12G數據外泄，其中包括用戶的用戶名、密碼、郵箱、電話號碼等多維度信息。再往前追溯，2016年已發生多起物聯網安全案例，無論是歷史最大規模的DDos攻擊，還是25000臺監控被用來組成僵尸網絡事件。

在我們的生活全方位“觸網”，個人信息安全難以保障時，圍繞個人信息數據形成的黑色產業鏈卻“悄無聲息”地運營著。

2015年央視3.15晚會就曾曝光手機實名制形同虛設，運營商成為詐騙電話的幕后推手。此種情況在2016年仍層出不窮。僅僅依靠手機號碼，憑借“拖庫”、“洗庫”、“撞庫”等手段，不法分子即可獲取數據中個人的身份、住址、家庭關系、經濟狀況等所有數據，再編兩套話術，就可“絕對控制”普通人的生活，并據此進行交易。

《中國網民權益保護調查報告（2016）》顯示，一年的時間，國內網民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。其中，9%的網民由于各類權益侵害造成的經濟損失在1000元以上。

36氪日前的3.15用戶體驗調查數據也側面反映了目前網絡信息安全現狀。59.2%的受訪用戶信息泄露后遇到過廣告推銷等騷擾類電話、郵件、短信；36.6%的人遇到過中獎等詐騙類電話；4.2%的受訪用戶人身安全曾因信息泄露而受到威脅。

“個人信息安全的保護意識人人都有，但卻架不住詐騙者的‘使詐’。”上海市信息安全行業協會會長，眾人科技創始人談劍峰舉例，一個人打電話說“你犯事兒了”，普通人都會覺得對方是騙子，但如果對方繼而爆出你的家庭信息，并且開始“娓娓道來”時，我們都會思考“我是不是真犯事兒了”，此時，已經落入騙子的圈套。

無論是“拖庫”、“洗庫”、“撞庫”等黑客攻擊手段，還是隨機詐騙的伎倆，從技術角度看，皆是信息安全的第一道“門”——身份認證被攻破，即核心密碼失靈。用戶個人信息一旦泄露，在支付的關鍵環節，身份認證方法是否可靠，將直接關系到用戶資金安全。

“我們正在因為支付的便捷性喪失交易的安全性。”談劍峰表示，不少用戶為了方便記憶，在許多賬戶中都是用一個密碼。“郵箱、支付、游戲等各種場景的密碼都一樣。一旦其中一個泄露，黑客通過‘撞庫’，其它的密碼則‘不解自破’。”

“足夠便捷”與“足夠安全”如何兼得？

在我們的調查中，“網購、支付”和“外賣、快遞”被受訪用戶同時票選為最易泄露個人信息的場景，各占22.5%；“買房、買車”這一場景被票選的比例為20.5%；15.2%的受訪用戶認為社交、游戲場景泄露個人信息可能性較大；其它還有“移動出行”場景（11.3%）和“看新聞，瀏覽網頁”等場景（7.9%）有泄露個人信息的可能。

談劍峰表示，在我國互聯網業態的各種場景中，金融支付場景信息泄露的情況較為突出。“信用卡普遍使用的今天，一些國外海淘網站為方便用戶，會幫助記錄信用卡的信息，不法分子僅憑信用卡號和有效期就可以支付，相當于自己寫字的紙筆掌握在了別人手里。”談劍峰強調，我們在交易過程中享受了便捷性，卻因此喪失了安全。

　　眾人科技CEO談劍峰

即使諸如最新被廣泛使用的生物識別，動態驗證碼等安全技術也存在潛在漏洞。

“生物特征看似方便，在互聯網上應用卻最不安全。”談劍峰告訴記者，不安全的原因最核心的一點是其“不可再生性”。“我們想象著每個人的長相不一樣，不可復制。但在網絡世界里，生物特征背后就是0和1的數字。只要轉化為0和1的數字，它就可能被截獲、被重放、被重構。”

“根據我們近十年的網絡信息安全技術研發經驗來說，只有經常修改密碼才是有效應對賬戶被盜風險的方式。”他指出，生物識別技術不適合在互聯網上傳輸使用，而是適用于本地化使用，比如家庭門禁系統、金庫的門禁安保系統。

然而在調查中，只有40.5%的受訪用戶在遭遇信息泄露之后，有過修改密碼之類的行為。當便捷性與安全性相矛盾時，很少有人意識到問題的嚴重性而采取有效措施。

隨著互聯網技術的不斷發展，移動支付安全更成為了“懸梁之劍”。在滿足便捷需求的同時，保障移動支付安全是談劍峰和眾人科技一直以來的不懈追求。眾人科技在網絡安全領域深耕長達十年，除參與推動、制定國產信息安全標準外，不斷更新升級自主研發、自主可控的核心技術。近年來，面對移動支付出現的問題，眾人科技發明了自主專利的創新密碼技術—SOTP（Super One-Time-Password），即可重構多因素動態認證技術。

說白了，就是用戶在網上的信息是虛擬的。比如綁定的銀行卡號是隨著時間、網絡環境等因素實時變化。真實的卡號只在銀行系統中才被還原，這樣避免個人銀行卡信息泄露后出現網絡盜刷的可能。

在談劍峰看來，普通用戶尋找的是一種安全“感”。當商家或交易平臺給用戶營造出一種安全感覺，用戶就會覺得這樣的支付手段或密碼防護是安全的，繼而一直使用。比如手機短信驗證碼，現在事實證明并不安全，可是用戶感覺上既便捷又安全。

信息泄露風險與安全性相交織在一起時，86.1%受訪用戶會一邊擔心著信息泄露，一邊不得不進行網上交易；2.3%受訪用戶曾因擔心信息泄露而放棄網上交易；只有11.6%[j1] 受訪用戶不在乎或者不了解網上交易的潛在風險。

對此，談劍峰強調SOTP是移動互聯時代可以有效兼顧便捷性和安全性的密碼技術。“目前的常規密碼保護技術存在系統性風險。一個密碼破了，與其相關的整個系統都有被破的風險。”相比之下，SOTP技術幾乎沒有系統性風險。談劍峰強調，即使單點破了，也只是針對一個人的密碼破了，對系統中其他用戶不會造成任何影響。 “這是SOTP最大的特點之一”。

目前，SOTP技術已廣泛應用于政府、金融等安全場景。去年，公安部與眾人科技攜手，在eID作為網絡身份的一級信任源的基礎上，使用SOTP作為二級身份認證防護技術，滿足用戶不同應用場景和不同安全等級的認證服務需求。

而西安銀行與眾人科技合作推出的創新型移動安全產品“@盾”，使金融交易場景既便捷時也更安全。談劍峰介紹，用戶安裝“@盾”相當于在手機銀行中置入隱形的硬件認證機制，交易過程中自動開啟保護屏障，無需接收短信驗證碼，輸入用戶自己設定的密碼便可輕松完成交易。“即使不法分子破解了手機銀行密碼，在交易時‘@盾’檢測到不是綁定設備，將直接中斷交易。”

對于信息安全防護，除了技術防范手段之外，更需要一套應對的組合拳。

對此，談劍峰對普通用戶的建議是在修改賬戶密碼的同時，控制銀行卡金額，不亂點各種渠道轉發的鏈接。而對于互聯網企業來說，應規范其采集數據的標準，并需有效的保障所采集數據存儲的安全性。“現在一些互聯網企業采集數據更多的是為了融資。因為投資人要看數據，看你的用戶量有多少，數據有多少。一些防范意識差、無力研發或采購安全技術和產品的互聯網企業對這些數據完全沒有保護措施，就相當于你的個人信息在網上‘裸奔’，而且還在拼命奔。”

即將于今年6月1日起施行的《網絡安全法》已聚焦個人信息保護。從收集、使用、管理等角度明確了網絡產品服務提供者、運營者的責任，嚴厲打擊出售、販賣個人信息的行為。談劍峰認為，國家已在法律層面明確了互聯網企業的社會責任：應有基本安全防范意識，同時不能惡意收集用戶信息，濫用用戶數據。

“沉下心來進行核心技術的研發、在技術上不斷創新，才是我們應該追求的未來創業的方向。”談劍峰說道。