从 Apple ID 盗刷事件谈网络安全措施

2018年以来 Apple ID 盗刷事件闹的沸沸扬扬。尤其是被央视、中消协先后点名批评：认为 Apple 的安全措施并不到位；事实上 Apple 发生这种事情已经不是第一次了。早在2015年，就出现过用于由于 Apple ID 密码泄露导致 iPhone 被恶意锁定，继而被黑产索要大量赎金的事件。

双重认证

而在2014年之前 Apple 为了保护用户财产安全，就已经推出了两步验证。而在 iOS 11 时代更是将两步验证升级成为双重认证。

不可否认，由于国内网络环境，个人隐私滥用以及网民对于网络安全不够重视等种种原因，抛开第三方支付公司、Apple以及消费者三者之间的关系不说。这种盗刷事件并不能单纯的说是某一方的原因。

作为消费者来说，了解其中的原理和知道怎样保护自己的财产才是最重要的。所以这一篇就打算向大家介绍网络身份认证的原理以及怎样用简单好用的工具来保证自己的财产安全。

身份认证的原理

身份认证当中涉及到三个要素，分别是： What You Know（你知道什么）/What You Have（你拥有什么）/Who You Are（你是谁）。

这三要素在现代金融和网络生活中被广泛应用。根据权限需求不同，往往会从这三要素中选取一到三种来进行用户身份认证，以便保证用户的财产安全。

密码

首先，你知道什么：以用户设置的密码为代表。用户为了方便记忆，往往倾向于选择简单的密码，而且往往会在不同服务间设置相同的密码，所以导致问题的产生，近些年就常常有某个网站的数据库不加密导致被拖库，用户密码泄露，进而影响用户使用相同密码注册的其他服务，导致一并被盗，并且连锁泄露更多信息。所以，可以说这几乎是最不安全的要素之一。

然后，建议为各种不同的网络服务都设置足够强大的密码。至于担心记不住，现在有大把免费的全平台密码管理服务供大家使用。下次我会再专门写一期来对比各家的服务。

其次，你拥有什么：最典型的应用其实是短信验证码。出于现在手机人手一部来考虑，可以通过短信验证码来认证你是否拥有手机。在大部分时候，这是一种简单、安全的工具。

最后，你是谁：最典型的是目前在手机中广泛应用的 Face ID/Touch ID 等等认证方式，通过生物特征进行身份识别。

现在，回忆一下你在支付宝绑定银行卡的过程吧：你需要输入银行卡号（你知道什么）；输入短信验证码（你拥有什么）。更重要的是，你绑定的银行卡所预留的手机号需要与支付宝中注册所使用的手机号相符，更是进一步进行了身份认证。

好了，到这里大家对于互联网身份认证的原理已经有了大致的了解。

第三方支付公司：简便与安全之间的权衡

对于需要盈利的第三方支付公司来说，要想与庞大的传统银行业竞争只有选择提供更好更方便的服务。而这就需要痛苦的抉择：方便或者安全，就看如何选择了。

第三方支付

1、免密支付

这项功能是早在手机还没有现在这些生物识别功能（Touch ID/Face ID）的时候就已经在各种支付软件上应用的功能。彼时，为了减少支付过程中输入密码的麻烦性，使用户觉得更畅快，才添加了这功能。这是典型的为了方便在安全性上做的妥协，尤其是支付软件会在你绑卡的时候默认勾选开通小额免密支付，导致有时候开通了你都不知道。

在现在生物识别功能高度发达的情况下，强烈建议大家关闭它。毕竟大部分情况下，你只需要在支付时将手指放在指纹模块或者看一眼摄像头，并不需要输入密码。

2、代付协议

支付工具中的代付协议一般应用在需要周期扣款的业务：比如迅雷会员服务或者各种视频网站的订阅服务；另外就是一些境外服务商提供的服务：比如Apple Store 和 被滴滴收购前的 Uber。大部分情况下，这些服务都是可以信赖的。毕竟通过这种服务绑定的都是你自己的账户，通过这个渠道付款，最终都会流入你自己的账户。然而，还是需要保证签署代扣协议的关联账户的安全性。

但是这里还是建议大家定期检查自己账户上关联的代扣协议，如有长期不用的，建议解绑，避免风险。

3、账户安全险

账户财产安全险是伴随着支付手段发达出现的新兴保险工具。比如支付宝的账户安全险就能以2元的费用承担最高100万的保额。只要是支付宝账户失窃，被冒名支付，那么在这个过程中产生的所有损失，只要在保额之内都会得到赔付。强烈建议使用支付宝的小伙伴都应该投保。

相比之下，微信就不像支付宝这样的鸡贼。微信支付的账户安全险服务是联合人保财险免费提供的，保额同样是100万，而且不需要用户单独付费。

4、支付工具额外保护

类似微信，它在支付工具之前更是一项社交工具。所以它也为微信钱包提供了一层额外的保护。你可以为微信钱包单独开启认证，这样在进入微信支付时，就需要单独进行一次验证。

两步骤验证：经过时间检验的工具

两步骤验证，文章的第一部分已经提到了。通过额外一层的验证来确保互联网账户的安全。

而在金融行业使用的两步验证是通过动态口令或者电子证书来实现的。

常见的动态口令是不具备网络通信功能的，这就保证了安全性；而口令在与服务器初次绑定时，是按照国际标准时间进行了同步的，这样就保证了口令的一致性。

而放到了第三方支付工具上，它却被简化成了不够安全的短信口令。短信认证码是基于：“你的手机只有你才能拿到”这个假设的。而实际上，一旦手机失窃，或者 SIM 卡被复制，这个假设也就失效了。

这里强烈建议大家为自己敏感的各类账户开启真正的两步验证服务。目前市面各种涉及到财产的网络服务都提供了两步验证。包括QQ邮箱/支付宝/网易邮箱等等。而两步验证也是有一个通用工具的，这就是谷歌推出的两步骤验证工具，这在国内各种服务上不常见，但是各种境外服务上却很常见。虽然谷歌服务在国内不可用，但是这并不影响谷歌两步认证服务的使用，只需要在绑定时与谷歌服务器完成数据交换，此后就完全可以离线使用了。

而在 iOS 上除了谷歌官方的两步认证 App 之外也有很好用的 APP ，那就是 AUTH。

相比 Google 自家的应用，更新更勤快一些。界面也更友好，通过它你可以为自己的群晖/网易/LastPass等等各种服务开通两步骤验证，保证安全。

如果你和我一样是一个账号注册狂人的话，建议单独申请一个电子邮箱用来注册各类网络服务。同时，请一定要为这个邮箱设置一个强壮的密码，外加开启两步验证。这样即使密码泄露，别人也无法通过登录你的邮箱来直接重置你的网络服务密码进而导致财产损失。