|
腾讯QQ密保卡的安全性分析 % K* a1 z# ]$ z+ {* H
( X) I/ \! X! \7 @. V
$ I! O' X" @0 E9 @4 r' n/ V5 Y- A! ~5 {! u$ P% M* j
腾讯QQ密保卡是腾讯推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。
6 R; M6 r; a2 x/ U* o% R由于密保卡每次随机选择三个方格中的数字作为临时动态密码,因而,这一动态密码每次都是不同的,即使盗号木马病毒窃取了您某一次输入的密码,也无法使用这个密码继续通过验证。目前QQ密保卡可以免费下载使用。) J2 ?% E0 V( M3 W
从安全产品上来看,QQ密保卡使用了类似动态密码锁的技术,但成本远远低于动态密码锁,但是这种QQ密保卡的安全性到底如何呢?2 w8 k5 j: t7 O( U
我们知道,动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。% F. A6 U& i, d8 R1 M
% R# M- g8 }' z. t+ {' x) e0 S
5 k3 i) g* I* n8 J# {( l
从理论上将,这种动态令牌产生的一次性密码数量可以是海量的,重复的可能性非常低,因此,即使黑客截获了很多次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个新的动态密码。
- r+ w2 n" ~1 Q但是,QQ密保卡的安全性能够达到动态令牌的安全程度吗?由于没有硬件动态令牌,QQ密保卡的密码并非一次性密码,而是若干次后的循环使用,这种方式虽然节省了成本,但是安全性却远远低于动态密码锁,黑客破解这种密保卡还是费不了多少功夫的。如果黑客同时安装了截取屏幕和键盘的木马工具,那么截取十几次用户登录输入的密码,就可以截获一半左右的QQ密保卡密码,这时黑客就可以尝试自己通过截取的密码进行登录了,有了一半的数据,基本上尝试几次就可以碰的上。
' y& ?% r$ O+ N- Q. x
& \' ]+ _, a: r5 B$ s! V8 h" G, Y* P' b' K4 \) p$ T
因此,QQ密保卡并没有使得QQ的登录安全性发生本质的变化,要想实现真正的网络安全,具有硬件介质的动态密码锁和USB Key才能使得安全性得到一个质的突破,就成本而言,USB Key还是具有相当大的优势,目前最便宜的USB Key成本已经在二十元以内了。 |
|