技术宅
不同厂商对网盘有着不同的称呼,而其本质实际上就是网络存储载体,我们几乎每天都在使用。比如在电脑端很多人使用百度云盘、微云等同步文件,而在移动端则通过手机内置的云端存储服务或者第三方QQ文件、微云等,对通讯录、短信等文件进行同步。以华为手机为例,初次使用手机时华为就会建议我们注册华为账号,并默认开通“云备份”服务,这个服务可以将你手机上的图库、联系人等自动备份到华为网盘中(图1)。
如上所述,大多数人的网盘中保存着类似联系人、照片等隐私文件(图2),因此就会对它的安全性比较关注。令我们感到欣慰的是,网盘的安全保护措施是多方位的。
首先是账号认证安全保障技术,每个网盘的使用都需要设置用户名和密码,以便在登录界面阻止非法用户的访问。为了确保用户的登录安全,一般网盘还会引入认证管理系统,它包含了多种验证手段,比如很多网盘使用的双重交叉验证,只有通过信任设备才能进行访问。用户首次在新设备或其他设备上访问网盘时,网盘会要求填写手机的短信验证码,通过绑定的手机来鉴别是否为合法用户(图3)。此外用户在进行类似重置密码、账号申诉等敏感操作时,网盘会通过增加滑动验证码等手段来避免自动攻击登录。
其次就是对用户访问和数据传输进行安全保障。文件在网盘同步中需要通过网络进行上传和下载,为了确保这一传输过程中的安全,网盘服务器都是使用HT TPS加密协议进行访问,并且使用CA签发数字证书的方式来保证安全。以使用Edge浏览器访问网盘为例,点击地址栏网址前的小锁标记,接着点击“查看证书”,在打开的窗口中就可以看到CA颁发的证书了(图4)。
一方面,使用CA证书可以确保用户访问的安全。因为CA颁发的证书和网盘的域名是一一对应的,当我们在Edge浏览器中输入www.weiyun.com访问微云时,微云服务器在接收到请求后就会给浏览器发送一个自己的CA数字证书(也就是上面点击小锁标记看到的证书)。Edge在收到证书后开始进行验证,并从根证书中使用公钥去解密证书的数字签名,最后检查证书上使用者的URL和我们请求的URL是否相等(这里都是www.weiyun.com),那么就可以证明当前浏览器链接的微云网站是正确的,而不是钓鱼网站(图5)。
另一方面,CA证书使用非对称加密来保护文件传输的安全。在通过上述方法实现浏览器和网盘服务器的成功连接后,浏览器先随机生成一个字符串A作为我们的秘钥,然后通过证书公钥加密成密文,将密文发送给服务器,发送的同时还会对消息内容进行签名操作。服务器收到这个密文后使用私钥进行解密,然后客户端和服务器就可以开始传输文件了。文件传输过程中即使其他第三方截取到这个密文,因为它们没有私钥是无法进行解密的,这个非对称加密会对整个传输进行全程保护(图6)。
最后是网盘文件完整性保障。为了确保用户保存在网盘上的文件是完整的、不被篡改的,现在很多网盘引入了“完整性保护”机制。用户在使用网盘上传文件的时候,这个机制会对上传的文件进行内容摘要,比如某张照片,进行拍照时间、字节大小、MD5校验码等摘要数据的提取,这些摘要数据和用户文件是独立存储的。这样当用户从网盘下载文件时就会使用摘要进行完整性校验,确保用户下载到的文件和上传的一致,防止数据在传输和存储过程中被篡改(图7)。
虽然网盘服务商已经为我们提供了各种安全保障,但是文件泄露问题还是时常发生。为了确保网盘文件的安全,作为用户在使用网盘时还要注意一些细节,比如为网盘设置强密码(要求长度至少8个字符,包含大小写字母、数字和特殊字符等),可以有效地防止密码轻易被他人暴力破解。
强密码可以借助http://tools.jb51.net/password/CreateStrongPassword之类的在线工具生成(图8)。如果担心强密码不好记忆,我们可以自行根据一定的规则设置,比如可以用自己喜欢的诗词句子的拼音加上一些特殊标记符构成。以“床前明月光”为例,拼音加标记符就成了“{Chuangqian}1{Mingyue}2{Guang}3”,其中包含了大小写字母、数字和特殊字符,足够复杂并且自己也容易记忆。
此外不要多个网络账号使用同一个(或类似)密码,同时定期更换密码。很多朋友为了记忆方便,经常把自己的邮箱、网盘、论坛等設置为同样的密码,这样一旦其中某个服务受到撞库攻击,即使你的网盘密码设置再复杂也容易泄露。当然为了安全也不要随意泄露自己的QQ号(因为很多人的网盘账号就是QQ邮箱)、邮箱,以及不要随意共享自己的网盘文件等。总之,在使用网盘提供的安全技术的同时,作为用户也要养成良好的安全使用习惯,只有这样你的网盘才更加安全。