腾讯QQ密保卡的安全性分析
作者:williamlong 来源:月光博客 发布时间:2008-06-13 12:37:00
腾讯QQ密保卡是腾讯推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。
由于密保卡每次随机选择三个方格中的数字作为临时动态密码,因而,这一动态密码每次都是不同的,即使 * 木马病毒窃取了您某一次输入的密码,也无法使用这个密码继续通过验证。目前QQ密保卡可以免费下载使用。
从安全产品上来看,QQ密保卡使用了类似动态密码锁的技术,但成本远远低于动态密码锁,但是这种QQ密保卡的安全性到底如何呢?
我们知道,动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。
从理论上将,这种动态令牌产生的一次性密码数量可以是海量的,重复的可能性非常低,因此,即使黑客截获了很多次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个新的动态密码。
但是,QQ密保卡的安全性能够达到动态令牌的安全程度吗?由于没有硬件动态令牌,QQ密保卡的密码并非一次性密码,而是若干次后的循环使用,这种方式虽然节省了成本,但是安全性却远远低于动态密码锁,黑客破解这种密保卡还是费不了多少功夫的。如果黑客同时安装了截取屏幕和键盘的木马工具,那么截取十几次用户登录输入的密码,就可以截获一半左右的QQ密保卡密码,这时黑客就可以尝试自己通过截取的密码进行登录了,有了一半的数据,基本上尝试几次就可以碰的上。
另一个安全衡量是介质的安全,举例来说,如果黑客知道了用户的QQ号码,又通过某种手段得到了用户的QQ密保卡,那么就可以冒充用户进行登录使用。但如果使用USB Key或动态密码锁就不同了,即使加密锁丢失了,黑客也无法使用其登录,因为其不知道用户的PIN码,没有PIN码就无法使用USB Key和动态密码锁。
因此,QQ密保卡并没有使得QQ的登录安全性发生本质的变化,要想实现真正的网络安全,具有硬件介质的动态密码锁和USB Key才能使得安全性得到一个质的突破,就成本而言,USB Key还是具有相当大的优势,目前最便宜的USB Key成本已经在二十元以内了。
猜你喜欢
- godaddy是全球最大的域名注册商,这家公司是美国公司,最近他们进入了中国市场,并且支持了支付宝付款这种方式,现在购买godaddy域名已
- 最近又开始玩PHP,研究起dedecms...这不正想搞搞导航站,想试试用dedecms这个内容管理系统实现其功能,终于早上配置好了php平
- 如何更好的达到防范黑客攻击,本人提一下个人意见!第一,免费程序不要真的就免费用,既然你可以共享原码,那么攻击者一样可以分析代码。如果在细节上
- 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入和破坏整个
- 本篇让你首先了解如下基本概念。什么是IP地址? IP地址是在网络上分配给每台计算机或网络设备的32位数字标识。在Int
- web应用服务器集群系统,是由一群同时运行同一个web应用的服务器组成的集群系统,在外界看来,就像是一个服务器一样。为了均衡集群服务器的负载
- 《士兵突击》和去年的《疯狂的石头》很像,口碑传播,据说是从天涯开始热起来的,听同事说起,到百度贴吧去看,非常热。在电视,YOUKU上看了大部
- 用户体验要素看到15页了,感觉我在一个个字的去品位,把功夫用到细处,就想一个网站对用户的展示也是这样,注重点在于细节的描写。感觉用户体验和S
- 在许多公司中,email很快成为了重要的应用程序,不过邮件服务器必须连接Internet才能收发email。可能你也知道,Internet绝
- 10月13日是世博倒计时200天,“星耀世博——首批世博城市之星颁奖典礼&
- 这里的大型网站架构只包括高互动性高交互性的数据型大型网站,基于大家众所周知的原因,我们就不谈新闻类和一些依靠HTML静态化就可以实现的架构了
- V5shop网络联盟系统:网商应突破平台壁垒 盈利为王最近,一些具有忧患意识的独立网商经常通过邮件或QQ向笔者咨询,归纳一下,问题基本集中在
- 做站长已经有好几年了,每次都在失望中结束。经过一番冷静思考以后,才知道经营网站不是想象的那么容易,一是需要下功夫,二是需要坚持。下功夫是要懂
- 做淘宝客已经有半年时间了,但还是新手一个。开始并不知道淘宝客能赚钱,只是在自己的一个时尚女性网:www.iflady.cn 投放了一些自以为
- 对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙
- 扩展提示译注:少数条目有重复,不重新编排以遵从原文。AdSense 收入 = 广告展示次数 x 点击率 x 点击单价 x 智能定价因素(Sm
- 今天我们来学习Godaddy主机用户怎样使用Hosting Control Center的File Manager,来重命名托管帐户里的某文
- 见到论坛里有部分朋友反映发布内容,内容缩略图选择为“站内选择”方式上传图片,上
- 内部链接的重要性就不详细说了。无论用户还是搜索引擎如果访问完你的内容页发现没有链接可去了。都是非常不科学的。网站内部链接优化有哪些?1.网站
- 一、关注于整体关键词开发如果你在新闻部门工作,你的定向关键词内容可能会包括以下的词汇类型:新闻品牌新闻频道新闻姓名新闻姓名姓名+主题事件、产