前幾天3•15晚會曝出免費(fèi)WiFi可竊取郵箱網(wǎng)銀等密碼的消息，引起很多不明真相的小白用戶的擔(dān)憂：蹭個免費(fèi)WiFi，郵箱密碼就真的那么容易被竊取了嗎?經(jīng)過對手機(jī)系統(tǒng)自帶郵箱應(yīng)用和市場主流手機(jī)郵箱APP的測試，小編可以負(fù)責(zé)任的告訴大家不用過于擔(dān)憂，為什么?3•15晚會上這個看似專業(yè)的問題，其實打個簡單的比方大家就明白了。

前幾年大熱的一部諜戰(zhàn)劇《潛伏》相信大家都還記得，其中有一個反復(fù)出現(xiàn)的場景：當(dāng)時余則成每次接受中共領(lǐng)導(dǎo)指示時，都是在家中一臺收音機(jī)前聆聽電碼并記錄，然后拿出一本叫《蝴蝶夢》的書來翻譯密碼，轉(zhuǎn)化成漢字，獲得行動指令。換句話說，當(dāng)時余則成和黨組織之間的通訊，是約定了將《蝴蝶夢》作為解碼列表，對電碼進(jìn)行了再加密。這里面，電臺傳輸?shù)碾姶a就是一種明文密碼，懂摩斯密碼之類電碼的專業(yè)人士都可以輕易監(jiān)聽并記錄下來(也就是余則成記錄的那一串?dāng)?shù)字)，但是，如果敵人不知道解碼列表，那么即使他們截獲了電碼，也只是一堆沒有意義的數(shù)字，根本無法破譯。

[[129763]]

[[129764]]

那么，相對應(yīng)的，郵箱領(lǐng)域的密碼加密是怎么實現(xiàn)的呢?其實，密碼泄露和不泄露之間，其實就隔了一本《蝴蝶夢》的距離。在談這個問題之前，我們先用大家常見的手機(jī)郵箱客戶端做一些測試。

我們選取了比較常用的郵箱系統(tǒng)：Android系統(tǒng)的自帶郵箱、iOS系統(tǒng)的自帶郵箱，以及目前比較主流的手機(jī)郵件客戶端、網(wǎng)易旗下的郵箱大師APP，看一下這些應(yīng)用是否真的會泄露郵箱信息。

先看一下Android系統(tǒng)的原生郵件應(yīng)用，我們進(jìn)入安卓手機(jī)原生電子郵件中，登錄帳號，并查看建立WiFi的機(jī)器上的監(jiān)聽日志，竟然真的找到了來自該手機(jī)登錄郵箱“明文”傳輸賬號和密碼的日志!

這就是類似3•15晚會上，那群坐在小黑屋的“黑客”獲取現(xiàn)場觀眾的郵箱帳號密碼的過程了。

接著，小編繼續(xù)測試iOS8系統(tǒng)的原生郵件應(yīng)用，結(jié)果很高興地發(fā)現(xiàn)，iOS8系統(tǒng)自帶的郵箱應(yīng)用，無論在登錄還是在收發(fā)郵件過程中，都進(jìn)行了加密。那么，手機(jī)郵箱APP郵箱大師APP又做得怎么樣呢?小編用郵箱大師APP登錄了郵箱帳號并且發(fā)送郵件。 同樣的，查看監(jiān)聽日志，截獲的信息也是全部經(jīng)過加密的。

那也就是說，通過網(wǎng)絡(luò)其實是可以進(jìn)行安全的信息傳輸?shù)摹?strong>那到底是什么將這個過程加密了呢?換句話說，給郵箱密碼加密的《蝴蝶夢》究竟是什么?要弄清楚這些，我們得從基本的網(wǎng)絡(luò)傳輸協(xié)議說起。

郵件收發(fā)，通常采用的是最基本的POP3/SMTP協(xié)議，他們都是建立在 TCP/IP協(xié)議上的一種郵件服務(wù)，但是使用TCP/IP協(xié)議傳輸是不加密的通信，所有信息明文傳輸，由此可導(dǎo)致第三方竊聽，篡改或者冒充的風(fēng)險。這就類似于電報電碼，專業(yè)人員可以輕易截獲。

基于這些問題，SSL/TLS應(yīng)運(yùn)而生，SSL(Secure Sockets Layer，安全套接層)，及其繼任者 TLS(Transport Layer Security，傳輸層安全)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，用SSL/TLS進(jìn)行安全的TCP/IP連接。這就類似于余則成和黨組織用來加密的那本《蝴蝶夢》。

由此可見，在晚會上所演示的被獲取到用戶郵箱密碼的終端，應(yīng)該都是在未開啟SSL加密的情況下進(jìn)行網(wǎng)絡(luò)傳輸?shù)? 例如Android4.4.2原生郵件應(yīng)用默認(rèn)是沒有任何加密處理的，當(dāng)用戶使用這樣的終端時，就會導(dǎo)致使用“明文”傳輸內(nèi)容，如下圖。

看到這里，大家就應(yīng)該已經(jīng)明白了，郵箱密碼是否會被泄露，網(wǎng)絡(luò)數(shù)據(jù)傳輸是否安全，最核心的問題就在于：有沒有用SSL進(jìn)行加密。密碼泄露和不泄露之間，其實就隔了一本《蝴蝶夢》的距離。也就是說，如果敵人截取了電碼，但是用了《康熙字典》來破解，那完全就是白費(fèi)力氣。

而解決方法也很簡單，勾選SSL/TLS加密設(shè)置即可。比如，在安卓機(jī)上勾選SSL加密選項。

而對于一些安全級別高的客戶端來說，比如iOS8原生郵件應(yīng)用和郵箱大師APP，都是默認(rèn)使用SSL的，所以無需手動勾選。

不過，這一切還有個非常非常關(guān)鍵的前提，那就是你使用的電子郵箱本身是否支持SSL。如果你的電子郵箱本身不支持SSL，那么你在客戶端上勾選了也沒有用。所以，最好選擇大品牌的電子郵件運(yùn)營商，比如Gmail或者國內(nèi)的網(wǎng)易郵箱等。