手机上使用vpn是否安全?会不会有密码泄露的情况发生?

手机用户或电脑用户使用VPN首要目标是什么?

将数据加密, 无障碍穿越 中间大防火墙(无法解密), 到达VPN服务器解密,然后再以原始数据格式访问最终的服务器。

如果没有VPN,用户访问最终服务器的明文报文会被大防火墙给丢了,浏览器会傻傻地等,直到超时为止。

VPN客户端、服务器端可以看到用户明文数据

如果用户的敏感数据(密码)以明文传输,VPN客户端、服务器端都可以看到;

密码现在一般是以Hash散列形式传输,为了更安全,还有一个验证码,以 密码的Hash散列 + 验证码 做共同输入参数计算一个最终的Hash散列,传输到最终的服务器。所以无论是VPN客户端、服务器端看到的仅仅是Hash散列,无法看到用户明文密码。

最坏的情况就是VPN客户端收集用户浏览历史以及键盘输入,这样是可以得到用户密码,如果真有这种VPN客户端,那是非常危险的。

目前很多股票交易软件提供了 软键盘 ,可以克服以上的安全隐患。

网银的访问使用额外的SSL加密

如果用户访问网银,在用户浏览器与网银服务器之间还会有另外一层SSL加密,那VPN客户端与服务器端看到的封装格式为:

IP(内层)+ TCP + SSL + Payload (加密)

假设VPN使用的是L2TP/IPsec,那VPN客户端与服务器端的加密前的封装格式为:

L2 Header + IP(外层)+ UDP + L2TP + PPP + IP(内层)+ TCP + SSL + Payload (加密)

VPN客户端与服务器端的加密后的封装格式为:

L2 Header + IP(外层)+ UDP + ESP + Payload(加密)

所以只要VPN客户端不收集用户的键盘输入,是无法看到用户访问网银密码等敏感信息的。

各种VPN的比较

如果按照网络层次来分类,常用的VPN基本上就两类: 网络层加密、传输层加密

网络层加密

IPsec

L2TP/IPsec

PPTP

这里比较特殊的是 PPTP ,微软开发并被业界标准化的,使用控制、数据双通道,控制通道不加密,数据通道加密,会泄露VPN用户名信息。

其它两种没有本质区别,都是 IPsec ,使用 IKEv1/v2 做为密钥分发 (DH算法) 、管理协议,使用预共享密码/数字证书做为认证方式,使用 AES 加密算法, MD5/SHA 哈希算法,封装格式为 ESP。

IKEv2 比IKEv1高明的地方是 :可以采用 非对称 认证方式(一方采用数字证书认证,而另一方采用Token 密码认证);采用 Notify 消息(Cookie)可以更好防范DOS攻击;将 ISAKMP Phase 1的6条消息简化成4条消息。

传输层加密

SSL/TLS

这里又分网页版的SSL、客户端软件SSL

网页版的SSL: 即SSL服务器不给客户端分配IP地址,这是访问网银的典型应用

客户端软件SSL:

如果SSL服务器给客户端软件分配IP地址,那用户可以选择将所有流量加密传输给SSL服务器,这种方式专业术语就是Full Tunnel,Cisco Anyconnect就提供这样的服务。

评论 在此处输入想要评论的文本。

タイトルとURLをコピーしました