青青子衿, 悠悠我心, 但为君故, 沉吟至今
« Blogger增加Blog List功能五个最佳照片共享网站 »

腾讯QQ密保卡的安全性分析

  腾讯QQ密保卡是腾讯推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。

  由于密保卡每次随机选择三个方格中的数字作为临时动态密码,因而,这一动态密码每次都是不同的,即使盗号木马病毒窃取了您某一次输入的密码,也无法使用这个密码继续通过验证。目前QQ密保卡可以免费下载使用。

腾讯QQ密保卡

  从安全产品上来看,QQ密保卡使用了类似动态密码锁的技术,但成本远远低于动态密码锁,但是这种QQ密保卡的安全性到底如何呢?

  我们知道,动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。

动态密码锁

  从理论上将,这种动态令牌产生的一次性密码数量可以是海量的,重复的可能性非常低,因此,即使黑客截获了很多次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个新的动态密码。

  但是,QQ密保卡的安全性能够达到动态令牌的安全程度吗?由于没有硬件动态令牌,QQ密保卡的密码并非一次性密码,而是若干次后的循环使用,这种方式虽然节省了成本,但是安全性却远远低于动态密码锁,黑客破解这种密保卡还是费不了多少功夫的。如果黑客同时安装了截取屏幕和键盘的木马工具,那么截取十几次用户登录输入的密码,就可以截获一半左右的QQ密保卡密码,这时黑客就可以尝试自己通过截取的密码进行登录了,有了一半的数据,基本上尝试几次就可以碰的上。

QQ密保卡

  另一个安全衡量是介质的安全,举例来说,如果黑客知道了用户的QQ号码,又通过某种手段得到了用户的QQ密保卡,那么就可以冒充用户进行登录使用。但如果使用USB Key或动态密码锁就不同了,即使加密锁丢失了,黑客也无法使用其登录,因为其不知道用户的PIN码,没有PIN码就无法使用USB Key和动态密码锁。

  因此,QQ密保卡并没有使得QQ的登录安全性发生本质的变化,要想实现真正的网络安全,具有硬件介质的动态密码锁USB Key才能使得安全性得到一个质的突破,就成本而言,USB Key还是具有相当大的优势,目前最便宜的USB Key成本已经在二十元以内了。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/1375.html
  • 文章排行:
  • 1.心碎
  • 草````不管这卡怎么样``我他妈跑了几十家网吧 都没的卖```草 如果这东西真好 我杂没看着 网吧有呢
  • 2009/1/31 14:58:23   支持(21)反对(10) 回复
  • 3.firebird
  • 这招不错,我丢了N个qq号码了。很多客户就这么丢掉,郁闷啊
  • 2008/6/13 11:20:22   支持(15)反对(7) 回复
  • 4.s
  • 有就不错了
    tx也不容易
    让qq用户交20来搞这个密保卡 骂的绝对比支持的多
    大多数qq用户只知道不花钱
  • 2008/6/15 15:05:57   支持(13)反对(5) 回复
  • 5.飘
  • 今天听朋友讲 他用密保卡 游戏也被盗了 我今天被盗游戏 然后申请了 究竟安全不 DNF游戏
  • 2009/4/5 0:04:57   支持(16)反对(8) 回复
  • 6.Heyi
  • 谈到即时聊天IM程序,还是QQ、MSN最优资格谈这个,而百度Hi开始降温了。
  • 2008/6/12 23:43:51   支持(18)反对(11) 回复
  • 7.gsha
  • 如果被挂马了那我觉得什么安全措施都white扯。
  • 2008/6/13 13:53:49   支持(14)反对(7) 回复
  • 8.日
  • 我的QQ+密保被人盗去了,用手机认证换了密保资料,结果又被盗走了,现在用手机还找不回了,郁闷·!我怀疑那人拿我以前的密保资料申诉了,我狂晕,咋回事……我的QQ费了我不少心血啊,还3级蓝钻,鲜花也不少~!!!咋办~~~!谁知道啊????????????????
    垃圾腾讯~~~~~~
    垃圾的腾讯QQ 于 2009-7-16 8:44:09 回复
    操他妈垃圾的腾讯QQ,他妈一点不好玩,设计这个网站的,他妈全家死去吧。。。
  • 2009/5/9 19:34:19   支持(12)反对(5) 回复
  • 9.ghhhhh
  • 艹你妹的狗日腾讯。什么鸡巴东西软件啊。
    艹你妹的狗日的马化腾。定你妈个肺。
    狗逼东西。搞你妹的这么多钱、
  • 2011/10/27 10:50:00   支持(17)反对(10) 回复
  • 10.Lexhex
  • 很诡异,昨天 Opera 9.5 发布怎么这里还是静悄悄的。博主应该是 Opera 老用户吧
  • 2008/6/13 18:31:20   支持(18)反对(12) 回复
  • 11.什么啊
  • 我觉得这个东西很好啊。。。现在腾讯的服务蛮好的
  • 2008/6/13 17:54:59   支持(15)反对(10) 回复
  • 12.lovehr
  • 没啥用处啥,没有什么能够安全。
  • 2008/6/13 21:25:23   支持(13)反对(8) 回复
  • 13.aaa
  • 我QQ密保卡都不能用了害了我个QQ这个QQ我花了多少钱你们知道吗?总是提示密保验证过多~!换都换不了~!游戏也卖不了东西了~!搞什么嘛~!
  • 2008/8/18 17:46:48   支持(15)反对(10) 回复
  • 14.寻仙
  • 垃圾TX,我昨晚玩寻仙,玩这突然屏幕上显示此号有别人在尝试登录 我想就有人在盗我号 我马上去改密码,结果东西到手没丢那些盗号的贱人 把我角色密码 财产密码全改了,我到时郁闷这些密码我都没给任何人说,结果在5分钟只内被改了。真他妈的晦气TX的安全也太垃圾了,支持你做的游戏你不能给我们一个有保障的环境。
  • 2009/8/25 15:58:53   支持(10)反对(5) 回复
  • 15.zylew
  • 腾讯的免费密保服务一直处于领先地位,对于一个免费聊天软件来说,这已经足够了!!
  • 2008/6/13 8:09:23   支持(15)反对(11) 回复
  • 17.訫粹
  • 我还是感觉网易的将军令比QQ密保卡实用
  • 2008/6/21 23:13:48   支持(8)反对(4) 回复
  • 18.被盗过号的人
  • 都是骗人的把戏~~大加小心点
  • 2009/1/28 8:01:37   支持(14)反对(10) 回复
  • 19.加鑫
  • 我要保护自己的Q
    垃圾的腾讯QQ 于 2009-7-16 8:44:00 回复
    操他妈垃圾的腾讯QQ,他妈一点不好玩,设计这个网站的,他妈全家死去吧。。。
    垃圾的腾讯QQ 于 2009-7-16 8:45:07 回复
    操他妈垃圾的腾讯QQ,他妈一点不好玩,设计这个网站的,他妈全家死去吧。。。
  • 2009/5/18 20:44:02   支持(13)反对(9) 回复
  • 20.无名
  • 你妈的腾讯 给劳资去死吧 垃圾公司
    滚到非洲去
  • 2010/9/15 1:30:29   支持(10)反对(6) 回复
  • 22.老N
  • qq也来搞密保卡啦。有总比没有好,安全性提升终归有的。
  • 2008/6/13 0:19:03   支持(9)反对(6) 回复
  • 23.少肺
  • 你的所谓的不安全是建立在截取屏幕和键盘取得一半密码的基础上的
    你怎么不假设u盾丢电子口令卡不安全呢
    你太扯淡了
  • 2008/6/13 2:25:14   支持(8)反对(5) 回复
  • 24.Kevin
  • 我觉得这样已经很不错了,还没有试用
  • 2008/6/14 18:57:35   支持(12)反对(9) 回复
  • 25.glegoo
  • 《魔兽世界》早就有了,结果盗号的也没减少多少
  • 2008/6/27 22:44:17   支持(10)反对(7) 回复
  • 26.死
  • 有密保还被别人盗了 。什麽破网站啊 死逼
  • 2010/3/13 20:56:59   支持(10)反对(7) 回复
  • 27.DNF
  • 为什么现在的DNF解锁了又绑定 每次都要短信!烦 这不是忽悠消费者 间接的收费吗....
  • 2011/10/19 9:16:15   支持(12)反对(9) 回复
  • 28.风到月来
  • 银行密保卡也是这样的,不是使用“电子设备"
  • 2008/6/12 23:33:44   支持(9)反对(7) 回复
  • 29.Sivan
  • 月光你是不是第一次见现在的点卡?一些银行,WOW的密保卡早就用这个技术了。
  • 2008/6/13 5:05:21   支持(7)反对(5) 回复
  • 30.linker
  • 虽然极端,但确实负责,非常赞同。
    考虑安全的同时,不要忘记考虑便捷性,复杂死了,但不方便用了,也不是好方法。
    经济实惠,当然,也要考虑,呵,20元,人多了,就是一笔极大的利润和负担。
  • 2008/6/14 0:43:09   支持(10)反对(8) 回复
  • 31.guxq.cn
  • qq登陆那么麻烦,没这个必要,感觉。
  • 2008/6/14 22:33:36   支持(14)反对(12) 回复
  • 33.无语
  • 又是个自以为是的家伙
    思考问题要从实际出发 人家黑客有这本事的 不去盗取网银 还来盗你那QQ干嘛 盗取一个网银账户 能买游戏里多少装备 能向用户购买多少QQ 是 这QQ密保卡 确实不是非常安全 但对于一个QQ帐号 这张密保卡足以 在声明一点 密保卡是可以随更换的 更换绑定只要有第一次绑定的日期就行了 试问黑客如何知道我是哪天绑定的 定期更换密保卡 那你的那套理论还成立吗 东西是死的 人是活的 问题在于你怎么利用好它 提醒楼主 自以为是 会遭人厌恶 自重
  • 2008/10/11 19:05:13   支持(9)反对(7) 回复
  • 34.士大夫的
  • 如果QQ二代密保忘记了可不可以使用密保卡?
  • 2008/12/13 12:40:22   支持(8)反对(6) 回复
  • 35.Washun
  • 腾讯QQ密保卡不过是一种更为复杂的网络密码,一般应用足矣。一个qq号码也没有必要如此保护它,丢了可以再申请一个嘛
    垃圾的腾讯QQ 于 2009-7-16 8:42:46 回复
    操他妈垃圾的腾讯QQ,他妈一点不好玩,设计这个网站的,他妈全家死去吧。。。
    垃圾的腾讯QQ 于 2009-7-16 8:43:22 回复
    操他妈垃圾的腾讯QQ,他妈一点不好玩,设计这个网站的,他妈全家死去吧。。。
  • 2008/6/12 22:32:01   支持(12)反对(11) 回复
  • 36.ye
  • Dynamic password is almost the standard approach for protection for banking systems, especially for swiss banks. However, some of the swiss banks still use the paper/card as the carrier, instead of electronic device.
  • 2008/6/12 23:12:25   支持(10)反对(9) 回复
  • 38.williamlong
  • 如果腾讯对于安全方面的专业建议视而不见,我也无话可说。我讨论的安全性是在本地全是木马并且被黑客完全控制后,依然无法盗用密码登录的安全机制,有这种机制的银行才是真正对储户负责。
  • 2008/6/13 22:45:14   支持(9)反对(8) 回复
  • 39.还是有点用的
  • 刚QQ游戏里面的装备被盗,被弄成了个裸体人损失惨重!很郁闷....如果用了这个密保卡,肯定是有效果的! 虽然它不能100%的保证,比起传统的认证还是有进步的,真希望有天能够,"天下无贼"---想当贼都没那机会就好了,那就好了
  • 2008/7/10 19:35:47   支持(10)反对(9) 回复
  • 40.无语
  • 哦 对 有人在考虑购买密保卡的费用问题 至今为止 网页可以免费下载密保卡 进行绑定 设置等操作
  • 2008/10/11 19:09:58   支持(10)反对(9) 回复
  • 41.dasd
  • QQ要是被盗了
    密保卡 还有用吗?
  • 2008/10/14 10:21:20   支持(7)反对(6) 回复
  • 42.日
  • 以前申请的密保卡 也不管用 ~~~还密保卡个×啊~
    垃圾的腾讯QQ 于 2009-7-16 8:40:20 回复
    操他妈垃圾的腾讯QQ,他妈一点不好玩,设计这个网站的,他妈全家死去吧。。。
  • 2009/5/9 19:36:05   支持(10)反对(9) 回复
  • 43.是大家撒
  • 就他妈绑个密保,还那么麻烦!!!!!!!!!
  • 2011/3/13 20:14:55   支持(7)反对(6) 回复
  • 44.mechi
  • 对普通只聊天的用户显的多余而麻烦,到玩游戏怕装备被盗的可以试
    垃圾的腾讯QQ 于 2009-7-16 8:43:41 回复
    操他妈垃圾的腾讯QQ,他妈一点不好玩,设计这个网站的,他妈全家死去吧。。。
  • 2008/6/12 23:13:25   支持(8)反对(8) 回复
  • 45.williamlong
  • USB Key或动态密码锁即使丢失了,黑客也无法使用其登录,因为其不知道用户的pin码,你在发表评论的时候请先了解一些基本常识在说吧。
  • 2008/6/13 10:13:29   支持(10)反对(10) 回复
  • 48.晕死啊
  • 什么啊 密保 保两下 都忘记了 Q也没了100多级的游戏都玩不了了..........
  • 2009/2/8 20:06:02   支持(11)反对(11) 回复
  • 49.张辉
  • 你好,我的QQ号上有个密保卡丢了,可是我想挂失,可是我不记得序列号了,你看看能帮我去了密保吗
  • 2009/3/7 15:21:22   支持(8)反对(8) 回复
  • 51.插画
  • 晕。。。如果没带这玩意那一定很郁闷。
    我觉得手机验证是最为实用的,就像支付宝一样。
    垃圾的腾讯QQ 于 2009-7-16 8:37:59 回复
    腾讯QQ真他妈垃圾
  • 2008/6/13 9:13:00   支持(11)反对(12) 回复
  • 53.北纬
  • 工商银行个人网上银行用的就是这种密保卡,效果还不错。这次qq推出密保卡,我觉得是个很不错的举措,在安全性方面别的im软件还真要向腾讯学习一下了 网络上可以复制度的东西真是很多
    只是有有些人会复制 复制的东西也有用但是有些人不会复制 复制东西也没有用哦
  • 2008/6/13 18:10:36   支持(8)反对(9) 回复
  • 54.sand
  • 一:您写这篇文章是为了批评腾讯;
    二:您应该知道大多数银行的动态密码卡也是这样;大多数网游也都是这样;
    三:您可以故意输入错误您自己的QQ密码多试几次看看有什么效果;不要妄自评论;
    四:虽然达不到您有钱人用的硬件那种安全性,但已经相比原来安全了许多;事务都在慢慢进步;
    五:没有话题写可以破例写您今天吃了什么;
    六:Done.
  • 2008/6/13 22:26:54   支持(10)反对(11) 回复
  • 56.丨XuAn丶傲皇
  • 如果QQ二代密保忘记了就用手机邦定,两者都没,就不行啦......
  • 2008/12/14 8:35:54   支持(9)反对(10) 回复
  • 57.气死
  • 有总比没有的好啊~我100多Q币全没有了啊 ~湖南偷了我的啊~
  • 2009/2/17 14:35:11   支持(7)反对(8) 回复
  • 58.loveyou
  • 银行密保卡也是这样的,不是使用“电子设备"
  • 2009/2/22 23:09:07   支持(10)反对(11) 回复
  • 59.1111111
  • 我的密保卡+2代保护前天是怎么被人盗的? 不知道你说的是什么废话 我都觉得神奇了。
    垃圾的腾讯QQ 于 2009-7-16 8:44:30 回复
    操他妈垃圾的腾讯QQ,他妈一点不好玩,设计这个网站的,他妈全家死去吧。。。
  • 2009/5/4 21:31:44   支持(6)反对(7) 回复
  • 60.郭文举
  • 没什么说的就是要个密矛绑绑
  • 2009/8/28 0:19:07   支持(5)反对(6) 回复
  • 61.Lei
  • 扯淡,屏幕截取+键盘截取,这也无非是获取“某个”用户一部分密保卡对应而已,和qq密保卡自身安全性有啥必要关联?
    你银行卡和密码被别人知道了从而资金被盗,和银联安全性有必要关联么
  • 2008/6/13 12:55:33   支持(8)反对(10) 回复
  • 62.积水成渊博客
  • 一切似乎都是不可靠的
  • 2008/6/15 12:44:06   支持(11)反对(13) 回复
  • 63.666.HH
  • 我号差点被盗 QQ宠物花了好多钱
  • 2009/1/17 19:13:33   支持(12)反对(14) 回复
  • 65.Win32Hack
  • USB Key就安全了?
    现在的网盾第二代都有个按钮了。
    莫非让QQ登录的时候按下按钮才能登录?就算黑客获取了usb key也无法按那个按钮吧。
  • 2012/7/25 12:42:20   支持(3)反对(5) 回复
  • 67.没必要
  • 不过聊聊天而已!偷了就偷了,无所谓
  • 2008/6/13 1:19:22   支持(7)反对(10) 回复
  • 68.Tanaous
  • 恩 今天的这篇~质量不怎样啊...
    分析的十分业余。。

    都说了是在执行敏感操作的时候用的
    完全没必要做成usbkey 而且 还需要考虑不是所有的网吧都开放USB接口的 硬件设备显然是需要考虑的要多一些~
  • 2008/6/16 10:47:02   支持(7)反对(10) 回复
  • 69.ddd
  • 吹毛求疵!虽然我也很讨厌腾讯,但是我觉得这个QQ密报卡的推出还是不错的。很便捷,也比较有效,怕截屏的话可以把密报卡图片保存在手机上。
    往深的说,USB key我也见过能破解的。
    您就没必要再这里卖弄了!
  • 2009/1/15 17:47:38   支持(6)反对(9) 回复
  • 70.免费神经
  • 郁闷死这密保卡变了,以前的没用了,。。。。。。。。。。。。。。。。。。。。。。。怎么变得我都不知道,TX把一个密保帮了我和另一个人???有病啊一个密保2人能用啊!!!现在一输就错唉~~~~~
  • 2009/2/22 19:15:54   支持(7)反对(10) 回复
  • 71.为什么
  • 为什么我的QQ密保卡怎么登也登不上啊 为什么啊 我很想知道这是为什么啊 ??????????????????????????????????
  • 2010/1/12 13:06:03   支持(8)反对(11) 回复
  • 73.david
  • 工商银行个人网上银行用的就是这种密保卡,效果还不错。这次qq推出密保卡,我觉得是个很不错的举措,在安全性方面别的im软件还真要向腾讯学习一下了
  • 2008/6/13 10:53:16   支持(10)反对(14) 回复
  • 76.11
  • 这个东西很好 要知道 现在盗号的 都是大批量的盗 他们洗一次信都是成千上万的QQ号 现在腾讯出了这个密码保护卡 很大程度上打击了洗信的人员
  • 2008/9/10 1:08:55   支持(9)反对(13) 回复
  • 78.leeds
  • 跟魔兽世界学的密保卡,实际情况是,绑定了密保卡的用户仍然有帐号被盗的情况发生。
  • 2008/6/12 23:45:18   支持(6)反对(11) 回复
  • 79.池中关公
  • 用qq密保卡安全性提升终归有的,是比较安全的。
    难道有最最最安全的方案吗?只有比较安全。
  • 2008/6/17 19:36:17   支持(7)反对(12) 回复
  • 80.视觉前线
  • QQ密码卡和网银的数字密保卡很像。
  • 2009/2/22 3:16:54   支持(13)反对(18) 回复
  • 81.5321321
  • TX出的软件其他的我破不了,密保卡我可以很自信的告诉你,让我没5分钟就可以破解。
  • 2011/9/26 8:27:13   支持(7)反对(12) 回复
  • 82.countyinfo
  • 安全与利益总是相伴而行。
  • 2008/6/12 23:19:30   支持(10)反对(16) 回复
  • 83.复印机租贷
  • 没听过有个老总QQ丢了,报警了
  • 2008/6/13 15:55:15   支持(5)反对(11) 回复
  • 84.丨XuAn丶傲皇
  • 不错啊,我觉得,最起码可以防止身边熟悉的人进入你的QQ,看取私人隐私,这样知道密码也没有用啦.
  • 2008/12/14 8:33:55   支持(7)反对(13) 回复
  • 86.垃圾密报
  • 什么垃圾,我弄了密报照样还不是叫盗了,垃圾就是垃圾,怪我那么相信TX 弄了密报没想到大头来还不是号没了,仓库空空钱也没了,要不是密码改的快装备也叫分解了,垃圾密报卡。。。。。。。。。。
  • 2009/1/29 22:11:24   支持(7)反对(14) 回复
  • 87.妈的垃圾
  • 真垃圾 有密保卡也不能该问题
  • 2010/3/1 22:42:28   支持(8)反对(15) 回复
  • 88.清爽点
  • 我考 简直神经病了, QQ 这不正经的东西也要搞的和 VPN 网瘾一样.... 囧。。无语了
  • 2008/6/12 23:16:57   支持(8)反对(17) 回复
  • 89.花果山寨
  • 万事只能靠自己小心,软件的密保作用不大~
  • 2008/6/13 17:35:27   支持(12)反对(24) 回复
  • 90.冰之吻
  • 〈独〉~自~飘流$........ちごまるふ
  • 2008/9/28 9:51:43   支持(7)反对(22) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.