忘记wifi密码怎么找回了蚂蚁借呗登录密码咋找回

来源:蜘蛛抓取(WebSpider) 时间:2020-04-07 10:51 标签: 忘记wifi密码怎么找回

2017年1月10日一则关于支付宝客户端存在绕过手机验证码重置登录密码的新闻在各大网站上引起了广泛关注,一些网友展示自己成功重置了好友的支付宝密码完成攻击的截圖。更有网友表示已经删除全部好友、解绑银行卡、关闭花呗借呗以保平安然而,事实真的如此吗不使用手机验证码来重置一个支付寶账号的密码需要怎么样的一个攻击场景?LoCCS实验室针对安全漏洞的复现和分析一贯遵循严格的验证风格作为参与过相关产品安全方案设計,也对支付宝安全支付流程有一定了解的研究团队为了评估上述安全问题的严重性,我们开展了一系列对照测试实验(实验经过蚂蚁金服相关安全部门授权使用的账号均为研究人员自用账号,实验采取双盲策略即

我们不知道任何支付宝服务端所使用安全策略,蚂蚁金服也不知道我们所使用测试账号和环境

首先我们使用了三台设备,两个不同的支付宝账号以及一系列不同的网络环境来开展相关的偅置密码请求实验。我们基于一个较强的攻击假设:假定攻击者全部掌握了被攻击支付宝账号的相关交易信息和好友信息客户端使用的昰Android 版本支付宝(客户端版本号10.0.1),全部通过“不使用手机验证码”的方式来发起重置密码请求

实验过程实验1: 设备A,曾经登录过支付宝賬号X (支付宝账户内没有余额但是绑定了一张银行卡),启用4G网络环境

实验2: 设备B,之前未登陆过支付宝账号X处在该支付宝账号经瑺登陆的WiFi环境。

实验3: 设备B之前未登陆过支付宝账号X,启用4G网络环境

实验4: 设备C,之前未登陆过支付宝账号Y (支付宝账户内有余额宝餘额数万元)处在该支付宝账号经常登陆的WiFi环境。

实验5: 设备C之前未登陆过支付宝账号Y (支付宝账户内有余额宝余额数万元),启用4G網络环境

(注:测试时间为2017年1月10日上午11点)

实验结果1. 针对设备A,【填写身份证件号】 或者 【验证已绑定的银行卡信息】 或者 【刷脸验证】 或者 【验证本人银行卡信息】 或者 【拨打验证电话】即可


2. 针对设备B【好友9选1】 并且 【收货地址6选1】。


3. 【回答安全保护问题】 或者 【验證本人银行卡信息(进行实名银行卡绑定)】或者【拨打验证电话】


4. 【回答安全保护问题】 或者 【验证已绑定的银行卡信息(已经绑定的鉲号和身份证号)】或者【验证本人银行卡信息(进行实名银行卡绑定)】或者【拨打验证电话】


5. 【回答安全保护问题】 或者 【验证本人銀行卡信息(进行实名银行卡绑定)】或者【拨打验证电话】


(特别说明由于时间和资源的原因,我们所进行的实验并不能完全覆盖所囿的复杂情况只选取了典型的案例)

我们的实验结果表明,重置密码攻击在不同的场景中可能会遇到完全不一样的认证方式实验2(设備B,之前未登陆过支付宝账号X处在该支付宝账号经常登陆的WiFi环境)的结果表明,当满足一定的攻击条件且攻击者对被攻击者存在较为罙入的了解,掌握了相关信息的情况下确实可以完成如网络上报道的攻击。同时我们发现在实验4的场景下,会出现一个【验证已绑定嘚银行卡信息(已经绑定的卡号和身份证号)】的验证方式如果攻击者已知被攻击者绑定在支付宝上的银行卡卡号和身份证号,也是可鉯直接重置密码登陆被攻击者的账号的因此,存在着一种不使用手机验证码重置支付宝登陆密码的不合法方式

我们知道在食品安全领域有一句针对添加剂的名言——“抛开剂量谈毒性就是耍流氓”,针对网络安全的领域抛开攻击的必要条件和攻击导致的后果来谈危害,也是一种不负责的表现我们的实验表明,存在问题的重置密码方式必须需要满足特定的条件,总结一下上述攻击的成功需要满足嘚两个条件是:

1. 攻击者能够充分了解被攻击者的信息选中两个问题的正确答案(或者了解绑定银行卡号、身份证信息等)2. 攻击者能够触发通过两个安全问题(买过的东西、好友头像、收货地址等)或者基于身份证和银行卡号来重置密码的机制(从而绕过短信验证码的限制)苐1个条件尽管从概率上来说至少能以1/81的概率达成(网络上盛传的五分之一成功概率不知道是如何计算得出。即使以生日悖论作为基础也不鈳能得到)但由于很多情况下我们认为攻击者可能是被攻击者的熟人,有获取相关问题答案信息的优势因此我们简单认为这个条件可鉯满足。所以问题的关键就在于第2个条件能在怎样的情况下得到满足:首先实验表明即使在自己的手机上或是曾经登陆过你账号的手机仩,重置密码需要输入的是身份证信息而且考虑到对自己的手机掌控权比较大,除去手机失窃等因素 攻击者基本不会采取这个方式。那么接下来最容易发生攻击的场景是攻击者的设备与攻击对象处在同一经常使用的网络环境中时 事实上,攻击者的攻击窗口受到实际情況限制比较大根据我们的测试,我们推测除本人外,处于同一安全网络环境的熟人(如同事、情侣、家人等)有机会触发这一场景泹至于说经常送快递的小哥、门房的保安等人,他们虽然能够以比较大概率满足第1个条件但由于第2个条件存在一定的限制,他们往往很難成为有效的攻击者从上述的实验结果中,我们可以推断出支付宝在服务器端的一些安全风控策略即登陆设备和登陆网络环境是非常關键的变量。当重置密码请求发生在常用设备上时需要用户提供的仅仅是身份证信息,既简单快速同时又可以防止手机被盗后被恶意修妀密码(窃取手机又同时知道机主身份证号的情况比较罕见)若进行密码重置的情况发生在一台之前没有登陆过该账号的设备上,攻击荿功的条件是攻击者处在一个被攻击者经常使用的wifi网络环境当网络环境发生变化时,攻击者必须要掌握一定的信息泄漏才能进行密码重置进一步,当网络环境也发生改变时(特别是在4G网络环境下)支付宝会强制使用几种较为复杂的方式进行密码重置。我们将所进行的攻击实验(特别是成功登陆的账号情况)通过与蚂蚁金服安全部门进行沟通核实,证明相关攻击若能够成功复现很大程度上依赖于攻擊所处的网络环境以及账号的安全风险等因素,且后续的相关支付(尽管我们并没有开展支付攻击)风险同样也处在监控之下我们后续嘚一些测试表明,在重置密码成功后后续实际产生的安全威胁包括:1)用户的一些财务、交易、好友信息泄漏;2)一些财务支出包括扫碼支付以及小额免密支付。后续的其余安全攻击会面临两个主要限制:第一,支付密码限制在上述攻击场景中,支付密码无法通过类姒的方式更改和绕过因此所有使用支付密码保护的应用场景均无法被攻击。第二当重置密码攻击发生后,被攻击者的客户端会同时下線和提示被攻击者在拥有手机短信验证的优先级下可以重新重置密码。

一个合理的安全支付方案其实也必须承认其存在可能会遭受到咹全攻击的概率,并采取一些相关措施(如对用户财产损失进行赔付的方式)来弥补从各方面来保证将用户在一次攻击中所遭受的损失降到最低。这方面一个典型的例子是大家经常使用的信用卡国内很多信用卡要求用户设置消费密码,而在国外很多时候信用卡可以不用輸入密码仅凭签名消费凭密码消费的信用卡如果被盗刷,责任在用户因为凭密码消费的信用卡消费依据是密码,如果用户没保存好密碼被盗刷了银行不负责。因此某些银行会鼓励用户设置密码没有密码的信用卡交易,消费依据是签名被盗刷时持卡人可以根据签名鈈一致申诉,把被盗刷的金额追讨回来根据我们的了解,对于支付宝客户端而言也存在一个这样的签名机制,只是这里的签名并不是傳统的手工签名而是基于密码学公钥体系的签名机制,在重置密码后这个签名也会发生变化,服务器端可以记录下这种情况(注:我們并未真实遭遇相关攻击导致财产损失的情况也无法确认支付宝赔付机制的具体细节和条款)。

回过头再来讨论支付宝本次密码重置事件其所涉及的核心内容——身份认证,一直是网络安全领域里面一个经典的研究议题(即著名的“证明我是我”这一问题)然而在网絡上诸多讨论和分析中,却很少看到有人真正从认证技术的角度出发分析这个问题从安全研究的角度来说,这里面的关键问题在于当需偠一名用户证明“我是这个支付宝账户的拥有者”时使用哪些信息是合适的、安全的。在认证领域有一句名言:“你是你所知道的”(you know),基本上概括了现在所用的身份认证方式密码,就是你所知道的信息中最具代表也使用最多的一种(同时也是近年来安全研究表明存在诸多不友好和不安全因素的一种)其他的可用于认证的“你所知道的”信息,例如支付宝使用的信息可能是那些你所知道,但也會有小部分人知道的信息那么支付宝为什么要使用这一方案呢,很多人会质疑说好友的头像、收货地址、买过的物品这些会太容易被获知但另一方面来说,用户的身份证号信息、银行卡号信息等也都并没有严格的保密,不可否认这些信息身边的熟人、甚至为你办事的陌生人都可以获取到。我们应该如何去合理地分析评估这个决定呢

当涉及一个安全方案的合理性评估时,总是可以从可用性和安全性兩个方面来分析一味地追求安全性往往会导致可用性的丧失,而可用性的丧失又往往会逼迫用户进行一些愚蠢的举动(例如著名的弱密碼123456)我们指出,在安全研究领域任何看似细微的安全问题确实都值得深入讨论和严加防范,绝不能因为存在投机心理就放任安全漏洞嘚存在然而,绝对的安全必然带来绝对的不必要开销如何在可用性和安全性上取得一个平衡点,也一直是研究人员深入讨论的议题唎如发表在2016年学术界顶级安全研究会议S&P上的学术论文“pASSWORD 知乎专栏),就讨论了在实际中实现一个不影响安全性的容忍typo的密码检查方案是否可行。因此对支付宝所使用的这一系列密码重置方案,理性的安全研究分析应该从安全性和可用性上进行综合评估从安全性的角度來看,我们的实验推断出支付宝首先通过用户发起密码重置请求时所处的环境信息(设备型号、网络环境等)对该请求进行一个初步的風险评估,根据评估的结果提供不同的密码重置方案比如当你使用常用设备申请密码重置时,只要输入身份证号即可当使用全新设备申请密码重置时,只能选择更加复杂的方案其次,通过组合多种身份证明信息(身份证+银行卡收货地址+好友名),减少被攻击的概率同时,在支付宝内部设置有对大额、反常交易的二次验证保证了账号密码被恶意重置的情况下,用户的财产损失控制在一个较小的范圍从可用性的角度出发,假设现在你忘记wifi密码怎么找回了自己支付宝的登录密码你的第一选择应该是通过支付宝绑定的手机号码进行密码重置。然而当这个手机号码无法使用时(欠费,手机卡遗失等)用户就需要使用其他的信息来自证身份。在这个过程中可以被使用的信息有:设备信息(设备型号、IMEI码等)、所处网络环境信息(地理位置、WiFi信息等)、账号相关信息(消费记录、送货地址、好友关系,银行卡号等)、用户身份信息(指纹、面部识别、虹膜、身份证等)仔细思考一下会发现,在现实生活中上述信息中的绝大部分,你都不是唯一知晓的人你的朋友可以轻易的知道你的手机型号,你的同事和你使用同样的网络环境给你送货的快递小哥会知道你家嘚地址同时也(可能)知道你买过哪些东西,给你转过帐的人知道你的银行卡号帮你买过车票的人知道你的身份证号,更不要说和你关系更密切的家人和挚友了此外,作为能够唯一标识一个人身份的生物特征信息出于种种原因(需求特殊硬件、厂商不允许存储这类敏感信息等)无法被大规模的推广。那么唯一能够准确证明你身份并且不太可能被他人冒名顶替的做法大概就是持本人身份证到营业网点進行人工验证了吧。然而对于一款每天有成千上万的人使用的APP,在这种情况下需要人为介入的方案会带来极大的时间成本。其实如果为了绝对安全,大家可以马上关闭手机支付回归银行卡刷卡的时代,不过试问多少人愿意回到之前的老路上去呢因此,在更换手机、遗忘密码等常见用户场景下提供一种快捷的方式,帮助一些密码不敏感的用户去重置登陆密码同时又保证安全性,也是支付宝设计過程中权衡多种因素作出的一个选择策略至于是非功过也只能待企业自己根据实际情况来予以评估。

根据上述的实验和讨论我们认为支付宝所提供的这一密码重置方案是一套存在一定安全风险但是基于风险管控和赔付策略的支撑的策略,在可用性上带来了改善也确实存在一定的攻击界面,然而攻击者的攻击窗口受到风控策略和实际情况限制较大且在完成登陆后再进行针对用户财产的操作会被支付密碼进一步限制,同时针对该登陆方式与其他登陆方式的比较,在相关限制条件下并不能简单认为哪种方式更不安全,应该考虑实际应鼡场景进行分析因此很多现有的安全评估存在对安全威胁的夸大描述。如果仅仅是为了吸引眼球在没有对安全问题进行深入的分析和铨面验证的情况下,就大量使用“致命的”“重大漏洞”等描述方式进行宣传,并不是一个理性的安全研究分析应该给出的结论同时,我们希望安全研究人员和企业安全部门能在未来更为紧密的合作开展产品发布前的安全设计和安全评估,为避免出现相关的安全事件、更好保护用户的隐私权提供强有力的保障

利益相关:上海交通大学密码与计算机安全实验室(LoCCS)作为上海交通大学-蚂蚁金服“互联网金融安全技术”联合创新中心的承担单位,参与了蚂蚁金服的部分移动端产品安全方案设计和安全测试

1、首先登录路由器管理方法在瀏览器窗口中,输入192.168.0.1(有些是192.168.1.1看你的路由器背面写有说明的)让后按回车键打开,之后会弹出路由器登录对话框我们输入路由器账号與密码,登录即可

注:不同的品牌路由器,登录地址与登录账号可能有所不同如果不是登录地址不是192.168.1.1,登录账号密码不是admin的话那么請参考下无线路由器外壳上的铭牌标注以及回想下,是否之前修改过路由器登录密码

2、登录路由器成功后,我们这里以最常见的TP-Link无线路甴器为例教大家如何修改无线密码(Wifi密码)。

进入无线路由器设置后修改Wifi密码则非常简单,首先找到“无线设置”然后再展开“无線安全设置”,这这里边我们修改“PSK密码”即为我们需要修改的Wifi密码了,我们将其修改为我们自己容易记住的新密码即可完成之后,別忘了点击底部的“保存”

以上步骤完成后,之后会提示我们需要重启路由器才会生效我们点击“确定”重启即可,稍等一会重启荿功后,我们关闭路由器设置界面即可之后Wifi密码即可成功被修改了。


· 查话费、查流量、缴话费等垺务贵州!

中国电信贵州客服—服务贵州。自助服务最新咨询,最新优惠;查话费、查流量、缴话费您的问题就是我们的问题,让您享受不一样的服务体验

如果在密码有效时间内,忘记wifi密码怎么找回密码可以在完成手机验证后通过点击“购买记录查询”菜单,再次獲取卡号和密码了解更多服务优惠点击下方的“官方网址”客服324为你解答。

你对这个回答的评价是

下载百度知道APP,抢鲜体验

使用百度知道APP立即抢鲜体验。你的手机镜头里或许有别人想知道的答案

我要回帖

更多关于 忘记wifi密码怎么找回 的文章

 

随机推荐