前幾天3•15晚會(huì)曝出免費(fèi)WiFi可竊取郵箱網(wǎng)銀等密碼的消息，引起很多不明真相的小白用戶的擔(dān)憂：蹭個(gè)免費(fèi)WiFi，郵箱密碼就真的那么容易被竊取了嗎?經(jīng)過(guò)對(duì)手機(jī)系統(tǒng)自帶郵箱應(yīng)用和市場(chǎng)主流手機(jī)郵箱APP的測(cè)試，小編可以負(fù)責(zé)任的告訴大家不用過(guò)于擔(dān)憂，為什么?3•15晚會(huì)上這個(gè)看似專業(yè)的問(wèn)題，其實(shí)打個(gè)簡(jiǎn)單的比方大家就明白了。

前幾年大熱的一部諜戰(zhàn)劇《潛伏》相信大家都還記得，其中有一個(gè)反復(fù)出現(xiàn)的場(chǎng)景：當(dāng)時(shí)余則成每次接受中共領(lǐng)導(dǎo)指示時(shí)，都是在家中一臺(tái)收音機(jī)前聆聽(tīng)電碼并記錄，然后拿出一本叫《蝴蝶夢(mèng)》的書(shū)來(lái)翻譯密碼，轉(zhuǎn)化成漢字，獲得行動(dòng)指令。換句話說(shuō)，當(dāng)時(shí)余則成和黨組織之間的通訊，是約定了將《蝴蝶夢(mèng)》作為解碼列表，對(duì)電碼進(jìn)行了再加密。這里面，電臺(tái)傳輸?shù)碾姶a就是一種明文密碼，懂摩斯密碼之類電碼的專業(yè)人士都可以輕易監(jiān)聽(tīng)并記錄下來(lái)(也就是余則成記錄的那一串?dāng)?shù)字)，但是，如果敵人不知道解碼列表，那么即使他們截獲了電碼，也只是一堆沒(méi)有意義的數(shù)字，根本無(wú)法破譯。

[[129763]]

[[129764]]

那么，相對(duì)應(yīng)的，郵箱領(lǐng)域的密碼加密是怎么實(shí)現(xiàn)的呢?其實(shí)，密碼泄露和不泄露之間，其實(shí)就隔了一本《蝴蝶夢(mèng)》的距離。在談這個(gè)問(wèn)題之前，我們先用大家常見(jiàn)的手機(jī)郵箱客戶端做一些測(cè)試。

我們選取了比較常用的郵箱系統(tǒng)：Android系統(tǒng)的自帶郵箱、iOS系統(tǒng)的自帶郵箱，以及目前比較主流的手機(jī)郵件客戶端、網(wǎng)易旗下的郵箱大師APP，看一下這些應(yīng)用是否真的會(huì)泄露郵箱信息。

先看一下Android系統(tǒng)的原生郵件應(yīng)用，我們進(jìn)入安卓手機(jī)原生電子郵件中，登錄帳號(hào)，并查看建立WiFi的機(jī)器上的監(jiān)聽(tīng)日志，竟然真的找到了來(lái)自該手機(jī)登錄郵箱“明文”傳輸賬號(hào)和密碼的日志!

這就是類似3•15晚會(huì)上，那群坐在小黑屋的“黑客”獲取現(xiàn)場(chǎng)觀眾的郵箱帳號(hào)密碼的過(guò)程了。

接著，小編繼續(xù)測(cè)試iOS8系統(tǒng)的原生郵件應(yīng)用，結(jié)果很高興地發(fā)現(xiàn)，iOS8系統(tǒng)自帶的郵箱應(yīng)用，無(wú)論在登錄還是在收發(fā)郵件過(guò)程中，都進(jìn)行了加密。那么，手機(jī)郵箱APP郵箱大師APP又做得怎么樣呢?小編用郵箱大師APP登錄了郵箱帳號(hào)并且發(fā)送郵件。 同樣的，查看監(jiān)聽(tīng)日志，截獲的信息也是全部經(jīng)過(guò)加密的。

那也就是說(shuō)，通過(guò)網(wǎng)絡(luò)其實(shí)是可以進(jìn)行安全的信息傳輸?shù)摹?strong>那到底是什么將這個(gè)過(guò)程加密了呢?換句話說(shuō)，給郵箱密碼加密的《蝴蝶夢(mèng)》究竟是什么?要弄清楚這些，我們得從基本的網(wǎng)絡(luò)傳輸協(xié)議說(shuō)起。

郵件收發(fā)，通常采用的是最基本的POP3/SMTP協(xié)議，他們都是建立在 TCP/IP協(xié)議上的一種郵件服務(wù)，但是使用TCP/IP協(xié)議傳輸是不加密的通信，所有信息明文傳輸，由此可導(dǎo)致第三方竊聽(tīng)，篡改或者冒充的風(fēng)險(xiǎn)。這就類似于電報(bào)電碼，專業(yè)人員可以輕易截獲。

基于這些問(wèn)題，SSL/TLS應(yīng)運(yùn)而生，SSL(Secure Sockets Layer，安全套接層)，及其繼任者 TLS(Transport Layer Security，傳輸層安全)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，用SSL/TLS進(jìn)行安全的TCP/IP連接。這就類似于余則成和黨組織用來(lái)加密的那本《蝴蝶夢(mèng)》。

由此可見(jiàn)，在晚會(huì)上所演示的被獲取到用戶郵箱密碼的終端，應(yīng)該都是在未開(kāi)啟SSL加密的情況下進(jìn)行網(wǎng)絡(luò)傳輸?shù)? 例如Android4.4.2原生郵件應(yīng)用默認(rèn)是沒(méi)有任何加密處理的，當(dāng)用戶使用這樣的終端時(shí)，就會(huì)導(dǎo)致使用“明文”傳輸內(nèi)容，如下圖。

看到這里，大家就應(yīng)該已經(jīng)明白了，郵箱密碼是否會(huì)被泄露，網(wǎng)絡(luò)數(shù)據(jù)傳輸是否安全，最核心的問(wèn)題就在于：有沒(méi)有用SSL進(jìn)行加密。密碼泄露和不泄露之間，其實(shí)就隔了一本《蝴蝶夢(mèng)》的距離。也就是說(shuō)，如果敵人截取了電碼，但是用了《康熙字典》來(lái)破解，那完全就是白費(fèi)力氣。

而解決方法也很簡(jiǎn)單，勾選SSL/TLS加密設(shè)置即可。比如，在安卓機(jī)上勾選SSL加密選項(xiàng)。

而對(duì)于一些安全級(jí)別高的客戶端來(lái)說(shuō)，比如iOS8原生郵件應(yīng)用和郵箱大師APP，都是默認(rèn)使用SSL的，所以無(wú)需手動(dòng)勾選。

不過(guò)，這一切還有個(gè)非常非常關(guān)鍵的前提，那就是你使用的電子郵箱本身是否支持SSL。如果你的電子郵箱本身不支持SSL，那么你在客戶端上勾選了也沒(méi)有用。所以，最好選擇大品牌的電子郵件運(yùn)營(yíng)商，比如Gmail或者國(guó)內(nèi)的網(wǎng)易郵箱等。