网络中如何保护自己的财富和隐私

你好，我是高朋，今天我们来学习下，怎么在生活中让密码更安全。

比如，什么网站是不安全的？Wi-Fi密码为什么会被盗走？为什么不需要密码的Wi-Fi不要用……

1

这些问题不要说挨个解释，只要放在一起提出来，听了就会让人觉得危机四伏。

所以在解释这些风险之前，我要先给你吃个定心丸：当前所有和隐私跟财产有关的应用，其实都已经被妥善的保护起来了。

这种保护一方面来自于密码学，另一方面来自于法律法规。也就是说对于特定的应用，法律会规定一定要采用某种级别以上的加密法。

所以绝大部分人即便完全没有意识到密码和安全保护的存在，只是正常使用，也基本不会遭遇破解。这种安全程度，就像我们绝大多数人不用了解飞机制造和航空管理的细节，只要正常乘坐商业航班，一般都会安全抵达目的地那样。

但你说，我确实在新闻里听说过密码被破然后财产受损的事啊？没错。密码被破解才是新闻，密码平安无事的新闻，是没人看的。

有人就会问，你不是说都妥善保护好了吗，为什么还会有这样的新闻呢？

是的。从密码学角度，确实已经做的挺好。但漏洞往往出在实际使用时的操作失误，或者人的惰性上。

人性的弱点也是密码的弱点，而这些人性上的弱点是密码学很难补齐的。黑客们就会从这些方面下手。

知道了这些你就会明白，想在日常生活中让密码更安全，不仅需要加强密码学知识，还要避免操作失误，也要对抗人性的弱点。

2

你有时间的时候，可以看看浏览器网页的地址栏，在www之前还有个前缀。如果这个前缀是HTTP://的话，安全程度就稍微低一些；开头是HTTPS://的网站，就更安全，因为它会对网站真实性做验证。

现在大约一半以上的网页，都已经改成HTTPS开头的了。你熟悉的绝大部分网站都是这样的，只有那些基本不承担用户功能的页面，只是单向传输信息的页面，为了提高效率使用的还是HTTP。

而一旦涉及到用户登录界面，那一定都得是HTTPS开头的才行。如果你发现在输入用户名和密码的界面没有使用HTTPS，这个网站就是非常不值得信任的。

那怎么能看出来，一个网站到底用了HTTPS还是没用呢？其实看一下地址栏的开头就行了。

现在很多浏览器自带很多功能，有的就在HTTPS的前面带一个锁一样的图标，而不把HTTPS写出来，这个也是安全的。

这些规则总的来说并不难，稍加留意就能区别出来。

一些假网站，比如说假淘宝、假京东，只凭肉眼我们是无法从页面设计、布局上区分出来的。当你输入用户名和密码之后，发现并没有进入登录后的页面，或者总是反复提示你密码错误时，其实你输入的用户名和密码已经被假网站收集到手了。它们有了这些信息，就可以干很多事情。

针对这种漏洞怎么防范呢？具体方法就是用一些好的浏览器。

其实浏览器市场竞争也很激烈，我们在软件市场能下载到的浏览器，都有自动识别假网站的功能。

比如说你不小心点了假淘宝，假页面不会直接显示，浏览器会先弹出一个大大的红色警告，告诉你下面的页面可能有严重风险，要不要继续打开。这一步可不是多余的，你只要不一意孤行，硬要输入用户名和密码，就可以躲过去。

你看在这种情况下，密码失守并不是密码学失效，而是有人故意欺骗，导致人们操作失误造成的。

3

第二个问题，Wi-Fi密码是怎么被盗走的？

这个问题要分两步看，第一步是Wi-Fi密码怎么会被盗走，第二步是被盗走后有什么损失。

我们先说第一步，怎么被盗走的。

其实盗走的方式很多，最简单的就是因为用户自己操作失误。

比如，无线路由要正常工作，需要设置好几套密码，可能有些人只知道Wi-Fi的那套用户名和密码，忽略了另外几套。很多Wi-Fi密码，就是这样被别人知道的。

具体来说，路由器里有很多可以自己设置的参数，比如说谁可以登录、流量限制等，其中也包含Wi-Fi名称和密码这一项。要设置这些参数，就需要另外一套用户名和密码，这套密码就和Wi-Fi名称和密码是不同的。

不少品牌的路由器用户名会默认ADMIN，密码默认也是ADMIN，地址往往是192.168.1.1。这本来是为了让人们第一次使用时方便上手。本应该是在第一次使用之后，就改掉这套默认的ADMIN的。就像咱们第一次办银行卡，银行卡都会有一个默认密码，本应该马上被改掉的。

但很多人不知道这一点，尤其是对IT不了解的人，当初他们家搭的Wi-Fi就是找人帮忙建的，来帮忙的人不愿意冒失的给人家设置一套新密码，多一事不如少一事，所以也就没改掉这个默认值。

在这样的情况下，设置好的无线路由仍然处在任何人都可以通过ADMIN登陆、更改设置的状态。假如我知道这个漏洞，就可以进入路由设置界面，把Wi-Fi密码下的选项点选成可见，就能看到用户名和密码了，也就可以免费蹭别人的网了。

预防这种漏洞的方法也很简单，就是改掉路由器设置界面那套默认的用户名和密码。

4

当然，这个例子是最简单的，稍稍复杂一些的方法也有。

比如，在安卓的手机系统里有一个文件夹，它就保存着你登陆过的Wi-Fi的名称和密码。这样你下次再登录时，一切都是自动的，不用重新填。

一般情况下，这个文件夹是没法访问的，但有些人玩儿手机刷了root权限后，这个文件夹就可以访问了，这里存的Wi-Fi用户名和密码就可见了。

可能大家用过一个叫做“万能钥匙”的软件，有了它很多有密码的Wi-Fi你都可以连上。其实当你安装上那个App以后，它就能把你手机里存储了Wi-Fi用户名和密码的文件，上传到它的服务器上。

等到积累的比较多之后，有用户再使用万能钥匙的时候，就会先根据Wi-Fi名称查查服务器上有没有对应的密码，有的话就发给用户试试，就有可能成功连上了。

你看，Wi-Fi密码就这样被盗用了。

5

有很多人不理解，“他顶多蹭了我的网，那又怎样呢？我不在乎啊”。但我要告诉你，这里面的陷阱可多了。

其实，如果能做到把无线路由器设置权限都拿到的话，那连接在这个路由上的所有用户的个人隐私就都保不住了。

黑客可以登录路由器看看主人使用过哪些设备，比如手机、平板，或者电视盒子，然后从流量日志中发现对方的微信、微博、QQ、淘宝、京东的账号，说不定还有那些没有加密的照片。

有人又说了，我没有什么见不得人的隐私，微信、QQ、微博都是可以公开的，照片被看也无所谓。

但不止于此，黑客还可以实时知道你登录了哪些页面，然后就能利用一些跳转链接的动作，把你劫持到咱们刚说的假页面上。

你上一秒还在真淘宝上，下一秒链接就已经跳到了假淘宝，在你重新输入用户名和密码后，隐私和钱就都不保了。

还有，那些把手机root权限打开的操作，更是把自己的隐私门户大开。App如果拿到了这个权限之后，就可以干任何事了。

这个漏洞怎么避免呢？

方法也很简单，就是把路由器默认的那套用来设置参数的用户名和密码改掉，不刷机开root权限，或者干脆使用苹果手机。

你看，这个问题也不是密码学失守，还是属于操作失误。

为了蹭网下一些蹭网软件，结果自己却冒了这么大的风险，这也不是密码学失守，而是那些软件利用了人们贪小便宜的人性弱点。

6

现在，咱们说第三个问题，为什么没有设置密码的Wi-Fi不要用？

如果你的Wi-Fi是自己设置的，一定会在设置密码时遇到一个选项，就是Wi-Fi的加密方式，一般是WPA2-PSK。

有了它，无线路由在传输数据的时候，就会自动给你的数据加密。即便有黑客用嗅探器把这些电磁波信号抓到了，他们拿到的也只是加密过的密文，想解开也是一件极难的事儿。

而不设置密码的免费Wi-Fi，数据就不再加密。

天下没有免费的午餐。没有密码的免费Wi-Fi，不太可能是有人忘记了设置密码，更有可能是有人释放诱饵。当你的手机或电脑连着这个Wi-Fi上网时，一切数据都要经过他的电脑，他可以把数据全都保留下来分析。

这里绝大部分信息都是原文，只有少部分软件在法律要求下，在登录或支付环节额外加了密。但仅仅是那些原文，就已经足够让一个黑客分析出相当多关键信息了。

面对这种风险，规避的方法就是不连那些没有密码的Wi-Fi。

7

总结一下，这节课我们说了几种日常上网中会遇到的风险。

这些应用的安全性，本身都是非常可靠的。之所以有时候密码会被盗，并不是因为加密法被攻破了，而是因为有人故意设置圈套，利用人们的操作失误造成的。

但总体上说，在密码的保护下，信息流通和商品交易都是可靠的。知道了上面几个典型的操作失误的例子，也就足够我们避免绝大多数风险了。

好，这节课就到这里。

下节课我再来说说关于手机密码上的问题。

比如，微信和支付宝支付时安全吗？什么密码组合最安全？手机密码里指纹解锁、图形解锁、密码解锁，哪个最安全呢？