潍坊信息港

当前位置:

腾讯QQ密保卡的安全性分析

2019/04/11 来源:潍坊信息港

导读

腾讯密保卡是腾讯推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改密码)时,系统将

腾讯密保卡是腾讯推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。

由于密保卡每次随机选择三个方格中的数字作为临时动态密码,因而,这一动态密码每次都是不同的小孩玩具
,即使盗号木马病毒窃取了您某一次输入的密码,也无法使用这个密码继续通过验证。目前密保卡可以免费下载使用。

从安全产品上来看,密保卡使用了类似动态密码锁的技术,但成本远远低于动态密码锁,但是这种密保卡的安全性到底如何呢?

我们知道,动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。

从理论上将,这种动态令牌产生的一次性密码数量可以是海量的,重复的可能性非常低,因此,即使黑客截获了很多次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个新的动态密码。

但是,密保卡的安全性能够达到动态令牌的安全程度吗?由于没有硬件动态令牌,密保卡的密码并非一次性密码,而是若干次后的循环使用,这种方式虽然节省了成本,但是安全性却远远低于动态密码锁,黑客破解这种密保卡还是费不了多少功夫的。如果黑客同时安装了截取屏幕和键盘的木马工具,那么截取十几次用户登录输入的密码,就可以截获一半左右的密保卡密码,这时黑客就可以尝试自己通过截取的密码进行登录了,有了一半的数据,基本上尝试几次就可以碰的上。

另一个安全衡量是介质的安全,举例来说,如果黑客知道了用户的号码,又通过某种手段得到了用户的密保卡,那么就可以冒充用户进行登录使用。但如果使用USB Key或动态密码锁就不同了,即使加密锁丢失了,黑客也无法使用其登录,因为其不知道用户的PIN码,没有PIN码就无法使用USB Key和动态密码锁。

因此,密保卡并没有使得的登录安全性发生本质的变化,要想实现真正的络安全,具有硬件介质的动态密码锁和USB Key才能使得安全性得到一个质的突破,就成本而言,USB Key还是具有相当大的优势,目前的USB Key成本已经在二十元以内了。

我的+密保被人盗去了,用认证换了密保资料,结果又被盗走了,现在用还找不回了,郁闷·!我怀疑那人拿我以前的密保资料申诉了,我狂晕,咋回事……我的费了我不少心血啊,还3级蓝钻,鲜花也不少~!!!咋办~~~!谁知道啊????????????????

垃圾腾讯~~~~~~垃圾的腾讯 于 8:44:09 回复操他妈垃圾的腾讯,他妈一点不好玩,设计这个站的,他妈全家死去吧。。。

2009/5/9 19:34:19 支持(12)反对(5) 回复

垃圾TX,我昨晚玩寻仙,玩这突然屏幕上显示此号有别人在尝试登录 我想就有人在盗我号 我马上去改密码,结果东西到手没丢那些盗号的贱人 把我角色密码 财产密码全改了,我到时郁闷这些密码我都没给任何人说,结果在5分钟只内被改了。真他妈的晦气TX的安全也太垃圾了,支持你做的游戏你不能给我们一个有保障的环境。

2009/8/25 15:58:53 支持(11)反对(5) 回复

我要保护自己的Q垃圾的腾讯 于 8:44:00 回复操他妈垃圾的腾讯,他妈一点不好玩,设计这个站的,他妈全家死去吧。。。垃圾的腾讯 于 8:45:07 回复操他妈垃圾的腾讯,他妈一点不好玩,设计这个站的,他妈全家死去吧。。。

2009/5/18 20:44:02 支持(13)反对(9) 回复

又是个自以为是的家伙

思考问题要从实际出发 人家黑客有这本事的 不去盗取银 还来盗你那干嘛 盗取一个银账户 能买游戏里多少装备 能向用户购买多少 是 这密保卡 确实不是非常安全 但对于一个帐号 这张密保卡足以 在声明一点 密保卡是可以随更换的 更换绑定只要有次绑定的日期就行了 试问黑客如何知道我是哪天绑定的 定期更换密保卡 那你的那套理论还成立吗 东西是死的 人是活的 问题在于你怎么利用好它 提醒楼主 自以为是 会遭人厌恶 自重

2008/10/11 19:05:13 支持(9)反对(7) 回复

腾讯密保卡不过是一种更为复杂的络密码,一般应用足矣。一个号码也没有必要如此保护它,丢了可以再申请一个嘛垃圾的腾讯 于 8:42:46 回复操他妈垃圾的腾讯,他妈一点不好玩,设计这个站的,他妈全家死去吧。。。垃圾的腾讯 于 8:43:22 回复操他妈垃圾的腾讯,他妈一点不好玩,设计这个站的,他妈全家死去吧。。。

2008/6/12 22:32:01 支持(12)反对(11) 回复

Dynamic password is almost the standard approach for protection for banking systems, especially for swiss banks. However, some of the swiss banks still use the paper/card as the carrier, instead of electronic device.

2008/6/12 23:12:25 支持(10)反对(9) 回复

如果腾讯对于安全方面的专业建议视而不见,我也无话可说。我讨论的安全性是在本地全是木马并且被黑客完全控制后,依然无法盗用密码登录的安全机制,有这种机制的银行才是真正对储户负责。

2008/6/13 22:45:14 支持(9)反对(8) 回复

刚游戏里面的装备被盗,被弄成了个裸体人损失惨重!很郁闷....如果用了这个密保卡,肯定是有效果的! 虽然它不能100%的保证,比起传统的认证还是有进步的,真希望有天能够, 天下无贼 ---想当贼都没那机会就好了,那就好了

2008/7/10 19:35:47 支持(10)反对(9) 回复

工商银行个人上银行用的就是这种密保卡,效果还不错。这次推出密保卡,我觉得是个很不错的举措,在安全性方面别的im软件还真要向腾讯学习一下了 络上可以复制度的东西真是很多

只是有有些人会复制 复制的东西也有用但是有些人不会复制 复制东西也没有用哦

2008/6/13 18:10:36 支持(8)反对(9) 回复

一:您写这篇文章是为了批评腾讯;

二:您应该知道大多数银行的动态密码卡也是这样;大多数游也都是这样;

三:您可以故意输入错误您自己的密码多试几次看看有什么效果;不要妄自评论;

四:虽然达不到您有钱人用的硬件那种安全性,但已经相比原来安全了许多;事务都在慢慢进步;

五:没有话题写可以破例写您今天吃了什么;

六:Done.

2008/6/13 22:26:54 支持(10)反对(11) 回复

恩 今天的这篇~质量不怎样啊...

分析的十分业余在线捕鱼游戏
。。

都说了是在执行敏感操作的时候用的

完全没必要做成usbkey 而且 还需要考虑不是所有的吧都开放USB接口的 硬件设备显然是需要考虑的要多一些~

2008/6/16 10:47:02 支持(7)反对(10) 回复

吹毛求疵!虽然我也很讨厌腾讯,但是我觉得这个密报卡的推出还是不错的。很便捷,也比较有效,怕截屏的话可以把密报卡图片保存在上。

往深的说,USB key我也见过能破解的。

您就没必要再这里卖弄了!

2009/1/15 17:47:38 支持(6)反对(9) 回复

郁闷死这密保卡变了,以前的没用了,。。。。。。。。。。。。。。。。。。。。。。星力游戏代理加盟
。怎么变得我都不知道,TX把一个密保帮了我和另一个人???有病啊一个密保2人能用啊!!!现在一输就错唉~~~~~

2009/2/22 19:15:54 支持(7)反对(10) 回复

什么垃圾,我弄了密报照样还不是叫盗了,垃圾就是垃圾,怪我那么相信TX 弄了密报没想到大头来还不是号没了,仓库空空钱也没了,要不是密码改的快装备也叫分解了,垃圾密报卡。。。。。。。。。。

2009/1/29 22:11:24 支持(7)反对(14) 回复

(*)

验证(*)

标签