前幾天3•15晚會曝出免費WiFi可竊取郵箱網銀等密碼的消息，引起很多不明真相的小白用戶的擔憂：蹭個免費WiFi，郵箱密碼就真的那么容易被竊取了嗎?經過對手機系統自帶郵箱應用和市場主流手機郵箱APP的測試，小編可以負責任的告訴大家不用過于擔憂，為什么?3•15晚會上這個看似專業的問題，其實打個簡單的比方大家就明白了。

前幾年大熱的一部諜戰劇《潛伏》相信大家都還記得，其中有一個反復出現的場景：當時余則成每次接受中共領導指示時，都是在家中一臺收音機前聆聽電碼并記錄，然后拿出一本叫《蝴蝶夢》的書來翻譯密碼，轉化成漢字，獲得行動指令。換句話說，當時余則成和黨組織之間的通訊，是約定了將《蝴蝶夢》作為解碼列表，對電碼進行了再加密。這里面，電臺傳輸的電碼就是一種明文密碼，懂摩斯密碼之類電碼的專業人士都可以輕易監聽并記錄下來(也就是余則成記錄的那一串數字)，但是，如果敵人不知道解碼列表，那么即使他們截獲了電碼，也只是一堆沒有意義的數字，根本無法破譯。

[[129763]]

[[129764]]

那么，相對應的，郵箱領域的密碼加密是怎么實現的呢?其實，密碼泄露和不泄露之間，其實就隔了一本《蝴蝶夢》的距離。在談這個問題之前，我們先用大家常見的手機郵箱客戶端做一些測試。

我們選取了比較常用的郵箱系統：Android系統的自帶郵箱、iOS系統的自帶郵箱，以及目前比較主流的手機郵件客戶端、網易旗下的郵箱大師APP，看一下這些應用是否真的會泄露郵箱信息。

先看一下Android系統的原生郵件應用，我們進入安卓手機原生電子郵件中，登錄帳號，并查看建立WiFi的機器上的監聽日志，竟然真的找到了來自該手機登錄郵箱“明文”傳輸賬號和密碼的日志!

這就是類似3•15晚會上，那群坐在小黑屋的“黑客”獲取現場觀眾的郵箱帳號密碼的過程了。

接著，小編繼續測試iOS8系統的原生郵件應用，結果很高興地發現，iOS8系統自帶的郵箱應用，無論在登錄還是在收發郵件過程中，都進行了加密。那么，手機郵箱APP郵箱大師APP又做得怎么樣呢?小編用郵箱大師APP登錄了郵箱帳號并且發送郵件。 同樣的，查看監聽日志，截獲的信息也是全部經過加密的。

那也就是說，通過網絡其實是可以進行安全的信息傳輸的。那到底是什么將這個過程加密了呢?換句話說，給郵箱密碼加密的《蝴蝶夢》究竟是什么?要弄清楚這些，我們得從基本的網絡傳輸協議說起。

郵件收發，通常采用的是最基本的POP3/SMTP協議，他們都是建立在 TCP/IP協議上的一種郵件服務，但是使用TCP/IP協議傳輸是不加密的通信，所有信息明文傳輸，由此可導致第三方竊聽，篡改或者冒充的風險。這就類似于電報電碼，專業人員可以輕易截獲。

基于這些問題，SSL/TLS應運而生，SSL(Secure Sockets Layer，安全套接層)，及其繼任者 TLS(Transport Layer Security，傳輸層安全)是為網絡通信提供安全及數據完整性的一種安全協議，用SSL/TLS進行安全的TCP/IP連接。這就類似于余則成和黨組織用來加密的那本《蝴蝶夢》。

由此可見，在晚會上所演示的被獲取到用戶郵箱密碼的終端，應該都是在未開啟SSL加密的情況下進行網絡傳輸的, 例如Android4.4.2原生郵件應用默認是沒有任何加密處理的，當用戶使用這樣的終端時，就會導致使用“明文”傳輸內容，如下圖。

看到這里，大家就應該已經明白了，郵箱密碼是否會被泄露，網絡數據傳輸是否安全，最核心的問題就在于：有沒有用SSL進行加密。密碼泄露和不泄露之間，其實就隔了一本《蝴蝶夢》的距離。也就是說，如果敵人截取了電碼，但是用了《康熙字典》來破解，那完全就是白費力氣。

而解決方法也很簡單，勾選SSL/TLS加密設置即可。比如，在安卓機上勾選SSL加密選項。

而對于一些安全級別高的客戶端來說，比如iOS8原生郵件應用和郵箱大師APP，都是默認使用SSL的，所以無需手動勾選。

不過，這一切還有個非常非常關鍵的前提，那就是你使用的電子郵箱本身是否支持SSL。如果你的電子郵箱本身不支持SSL，那么你在客戶端上勾選了也沒有用。所以，最好選擇大品牌的電子郵件運營商，比如Gmail或者國內的網易郵箱等。