|
|
腾讯QQ密保卡的安全性分析
0 ^* P2 z6 [! X( |1 J i; I4 C. S+ _1 P9 a
# v" F! U8 A: k& |- ~
- f1 j5 W3 r+ D V; Z- s+ Z* Z8 [
腾讯QQ密保卡是腾讯推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。
3 C' I/ b2 y! E( J由于密保卡每次随机选择三个方格中的数字作为临时动态密码,因而,这一动态密码每次都是不同的,即使盗号木马病毒窃取了您某一次输入的密码,也无法使用这个密码继续通过验证。目前QQ密保卡可以免费下载使用。! ]$ P5 ?# ?0 {$ x
从安全产品上来看,QQ密保卡使用了类似动态密码锁的技术,但成本远远低于动态密码锁,但是这种QQ密保卡的安全性到底如何呢?0 y, j# m; r1 a& i/ ~9 W* N* V
我们知道,动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。) u. [+ R/ i$ e7 J) s, y5 ^5 h
9 i- h( j9 x2 y. {: z6 O9 e! M
& F7 j- q, ?) v: C% [1 l, \1 J从理论上将,这种动态令牌产生的一次性密码数量可以是海量的,重复的可能性非常低,因此,即使黑客截获了很多次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个新的动态密码。
, m. ^( A% e$ k2 p7 p但是,QQ密保卡的安全性能够达到动态令牌的安全程度吗?由于没有硬件动态令牌,QQ密保卡的密码并非一次性密码,而是若干次后的循环使用,这种方式虽然节省了成本,但是安全性却远远低于动态密码锁,黑客破解这种密保卡还是费不了多少功夫的。如果黑客同时安装了截取屏幕和键盘的木马工具,那么截取十几次用户登录输入的密码,就可以截获一半左右的QQ密保卡密码,这时黑客就可以尝试自己通过截取的密码进行登录了,有了一半的数据,基本上尝试几次就可以碰的上。" j+ _; w0 z$ L6 N* U R
3 Q& T! \5 x J; b7 x$ e4 ~: o2 g
8 Q3 ^7 s$ q) K因此,QQ密保卡并没有使得QQ的登录安全性发生本质的变化,要想实现真正的网络安全,具有硬件介质的动态密码锁和USB Key才能使得安全性得到一个质的突破,就成本而言,USB Key还是具有相当大的优势,目前最便宜的USB Key成本已经在二十元以内了。 |
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2011-12-21 20:20:37
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡