青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 为什么80后集体缺席互联网谷歌地图疑遭阉割 »

腾讯QQ令牌的安全性分析

  腾讯QQ令牌是腾讯推出的一项保护QQ帐号及游戏帐号安全的密保产品,该令牌是一款锁扣型的实物产品,可挂在钥匙扣上随身携带。当QQ用户完成令牌绑定后,按下QQ令牌的按键,会在液晶屏上显示6位动态密码用于QQ身份验证,用户在电脑上输入正确密码才能继续操作。

  在几年前,腾讯曾经推出类似的“QQ密保卡”免费服务,通过纸质的卡片模拟动态密码形式登录,月光博客曾经分析过,“QQ密保卡”虽然节省了成本,但是安全性却远远低于动态密码锁,QQ密保卡并没有使得QQ的登录安全性发生本质的变化,要想实现真正的网络安全,具有硬件介质的动态密码锁和USB Key才能使得安全性得到一个质的突破,而现在,腾讯终于推出了具有硬件介质的动态密码锁产品:QQ令牌,那么QQ令牌的安全性到底如何呢?

QQ密保卡

QQ密保卡

QQ令牌

QQ令牌

  动态密码认证技术

  QQ令牌使用的是动态密码技术,这是目前较为流行的身份认证硬件产品,可以实现较为安全的身份认证。

  动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。

动态密码锁

动态密码锁

  这种产品的密码生成芯片运行专门的密码算法,根据当前时间以及使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个动态密码。

  基于PIN码保护的动态密码

  动态密码锁需要两个密码要素,一个要素是静态PIN码,由用户自行设置、保管。另一个要素是动态密码,由密码令牌动态生成,不可预测,并且与后台服务器的接入控制保持同步,由后台服务器进行检验。因此,用户必需输入正确的静态PIN码和动态密码,才能通过身份认证。

  动态密码锁本身需要输入PIN码才能使用,静态PIN码的安全要素在于,这个PIN码不是在电脑上输入的,而是在密码锁上输入的,这样,所有的黑客木马程序从理论上讲都全部失效,因为这些木马根本不可能在另外一个硬件密码锁上运行。

  黑客要想破解用户密码,首先要从物理上获得用户的动态密码锁,其次还要获得用户的PIN码,这样,黑客必须潜入用户家中(电脑黑客还需要学习普通窃贼的技术),偷取了动态密码锁,然后再破解PIN码。没有用户PIN码依旧无法使用,而通常情况下动态密码锁本身具有一定安全保护功能,录入PIN码错误10次就会自动锁死而无法使用。这也保证了动态密码锁物理上的安全性。

  动态密码技术可以完美解决客户端用户的安全性问题,因为黑客无论使用什么方法,也无法方便的窃取用户的密码,即使黑客窃取了一次密码也无法登录使用。

  动态密码的类型

  动态口令硬件令牌从技术角度分析包括以下三种形式:基于时间同步、基于事件同步、挑战应答方式。

  时间同步:基于动态口令令牌和服务器的时间同步,通过运算来生成一致的动态口令,一般更新率为60秒,每60秒产生一个新口令,要求服务器能够十分精确的保持正确的时钟,同时对其令牌的晶振频率有严格的要求。

  从另一方面,基于时间同步的令牌在每次进行认证时,服务器端将会检测令牌的时钟偏移量,相应不断的微调自己的时间记录,从而保证了令牌和服务器的同步,确保日常的使用,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响。

  事件同步:基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,通过加密算法运算出一致的密码,不受时钟的影响,由于其算法的一致性,其口令是预先可知的,通过令牌,你可以预先知道今后的多个密码。基于事件同步的令牌同样存在失去同步的风险,例如用户多次无目的的生成口令等,事件同步的服务器使用增大偏移量的方式进行再同步,其服务器端会自动向后推算一定次数的密码,来同步令牌和服务器。

  挑战应答方式:常用于客户端软件,在软件上输入服务端下发的挑战码,客户端上生成一个随机数字,这个动态口令只能使用一次,可以充分的保证登录认证的安全。

  QQ令牌动态密码的优点

QQ令牌

QQ令牌

  价格低:从技术上讲,动态密码技术是比较完美的方案,然而可惜的是,动态密码锁的成本过高,不太利于大规模使用。基于时间同步的“QQ令牌”相比而言价格较低,比较易于批量使用,QQ令牌就是使用的基于时间同步的动态令牌,这种动态令牌由于成本限制,就没有保护PIN码,别人偷盗这张卡片即可冒名登录,其安全性相比具有PIN码的动态密码锁还有一定差距。

  使用简便:在使用上,QQ令牌较为简单易用,当正常启动时,会在液晶屏上显示6位动态密码,在一分钟后,动态密码自动消失,用户需要再次按下按键,重新获取动态密码。

  跨平台:QQ令牌无需安装,无需USB接口,没有驱动,可在任何平台上使用,相比USB Key来说安装和使用很简单。

  QQ令牌动态密码的缺点

  缺少PIN码:QQ令牌因为节省成本,没有键盘,因此也就没有PIN码保护,用户每按一次按钮就可以生成一个密码,一旦QQ令牌被盗,用户的密码即被破解,用户需要努力保护自己的QQ令牌在物理层面不被他人盗取,一旦被盗,也应该及时挂失。相比来说有PIN码保护动态密码锁,硬件和PIN码构成了的两个安全因素。如果用户PIN码被泄漏,只要密码锁本身不被盗用即安全。即使密码锁被盗,黑客不知道PIN码也无法使用,破解PIN码并不容易,大部分动态密码锁对于多次错误输入PIN码后,都会自动锁定,无法使用,需要管理员来解锁。

  单钥加密的认证安全:虽然动态密码锁的安全性的确不错,然而,动态密码技术也有一个安全隐患,就是服务器端的安全性。动态密码的本质是单钥加密,密钥只有一个。在服务器端的认证系统里,可以计算出所有动态密码,因此黑客如果将精力放在破解认证服务器系统,那么还是有可能对系统造成一定安全威胁,另外这个系统也依赖于服务器的管理员,服务器的管理员可以在服务器端修改动态密码锁的规则,模拟用户登录,也具有一定的安全隐患。而USB Key通过双钥加密的技术实现安全的认证,将私钥保存在USB Key中,服务器端无法模拟,就可以弥补动态密码锁的某些安全性的隐患。

USB Key

USB Key

  结论

  总的来说,“QQ令牌”的安全性远远高于“QQ密保卡”,但因为节省成本而缺少PIN码,其安全性还是低于常规的动态密码产品,因此,“QQ令牌”应随身携带,并尽量避免“QQ令牌”被他人借用或通过其他方式获得,否则会给自己的QQ帐号带来很大的安全问题。一旦“QQ令牌”丢失,应该在第一时间内登录系统挂失,以免账户安全受到威胁。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/2234.html
  • 文章排行:
  • 1.清夜
  • 手机动态密码就是属于挑战应答方式吧?为什么不更多采用这种方式?个人觉得更方便。考虑用户可能没有手机,比如低龄用户,不具有普遍性?或者和运营商交易,成本较高?
    杰伦迷迷 于 2010-7-8 17:19:44 回复
    应该不是,QQ手机令牌估计还是基于时间同步的动态令牌,开始发放的一个密码是用来绑定QQ和修正时间的,你看,QQ手机令牌对时间的要求非常精准,误差不能超过2分钟。
  • 2010/7/8 10:56:23   支持(15)反对(6) 回复
  • 2.Vincent4J
  • 文章写的太过于专业,对于像我这样的普通网民基本上没有耐心将其读完,因为越看越晕,看到一半索性就放弃。我建议是不是应该在文章开头,用简明扼要的语句将其原理大致描述,让读者有个基本的认识,这样读者才有兴趣将其细节阅读完。
  • 2010/7/8 10:00:24   支持(16)反对(10) 回复
  • 3.猪八戒
  • 怎么有点像网银的动态口令卡?
  • 2010/7/8 16:47:22   支持(17)反对(11) 回复
  • 4.王玉明
  • 一直觉得TX应该为一个用户多QQ等包括会员用户提供个硬件
    alex 于 2010-7-7 22:24:27 回复
    说的是个求,还好意思发出来
    hntv5 于 2010-7-8 10:20:04 回复
    同感啊,太无聊了
  • 2010/7/7 21:55:34   支持(12)反对(7) 回复
  • 5.产后如何消除妊娠纹
  • 这个是什么时候出来的?以前没有听说过啊,月光博客总是带给我新鲜东西。
  • 2010/7/7 22:12:40   支持(17)反对(12) 回复
  • 7.慧勇网
  • 月光博客的文章,很少有象这一篇这样,有争议的。
  • 2013/6/20 18:34:18   支持(15)反对(10) 回复
  • 8.智勇
  • 貌似中国银行就用的是类似的东东吧...
  • 2010/7/7 22:36:13   支持(14)反对(10) 回复
  • 9.快乐黑马
  • 腾讯的东西让人不放心


    还不是在愚弄大众

    马儿不听话啊
    dsfklj3829 于 2014-5-9 11:40:33 回复
    在此推荐 有一位高手口口86017338我的QQ被盗了 就是他们帮忙找回的 希望能帮助大家 他们专业查QQ聊天记录,微信聊天记录,恢复删除的聊天记录,手机通话记录,手机短信,手机定位找人等。
    dsfklj3829 于 2014-5-9 11:41:08 回复
    在此推荐 有一位高手口口86017338我的QQ被盗了 就是他们帮忙找回的 希望能帮助大家 他们专业查QQ聊天记录,微信聊天记录,恢复删除的聊天记录,手机通话记录,手机短信,手机定位找人等。
  • 2011/1/1 11:48:03   支持(12)反对(8) 回复
  • 11.路人
  • 中国银行的网银 采用的也是类似技术,使用很方便。

    至于“缺少PIN的缺点”应该不足为虑,除非登录密码和动态密码锁 两者同时失窃才有危险。
  • 2010/7/7 22:15:50   支持(12)反对(10) 回复
  • 13.bb
  • 啥子哟,还有液晶显示?那岂不是要充电或换电池???????
  • 2010/7/8 9:46:34   支持(10)反对(8) 回复
  • 14.nJ
  • 九城网易盛大早就有这玩意了……
  • 2010/7/9 12:53:10   支持(11)反对(9) 回复
  • 15.小新
  • 感觉是挺安全的,不过不放便啊!
  • 2010/7/9 17:23:27   支持(11)反对(9) 回复
  • 16.谋万世全局者
  • 这个对我就没用了。我对QQ的安全性不是担心hacker,是担心腾讯自己~~!
  • 2010/7/9 20:32:17   支持(10)反对(8) 回复
  • 17.双引号
  • 我坚信,主动带这玩意儿的人会很少!
  • 2010/7/13 13:39:32   支持(10)反对(8) 回复
  • 18.拓哥
  • 青青子衿, 悠悠我心, 但为君故, 沉吟至今
    仙四里面的
  • 2010/12/29 19:00:55   支持(14)反对(12) 回复
  • 20.炎龙会计
  • 没用过,不过感觉也不是很安全。
  • 2010/7/10 16:39:14   支持(14)反对(13) 回复
  • 21.qzone
  • 这个不错哦 安全等级又上了一层
  • 2010/7/17 13:05:33   支持(11)反对(10) 回复
  • 22.昵称
  • 哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈再也不用担心QQ密码被同学们破解啦!!!
  • 2015/12/23 21:33:22   支持(3)反对(2) 回复
  • 23.tealun
  • 这种动态密码技术 貌似几年前就应用在很多企业的内部OA软件上了 也不是很新鲜呀 像这样大批量的生产的在一些游戏上也有应用 就是为了不把动态令牌丢失 操的心太多
  • 2010/7/7 22:09:16   支持(13)反对(13) 回复
  • 24.classictallboots
  • 有点夸张,保护qq账号应该没必要吧
  • 2010/7/7 23:17:22   支持(14)反对(14) 回复
  • 25.杰伦迷迷
  • 话说我现在用QQ手机令牌,已经很不错了,,,这个如果购买方便的,价格适当的话,可以买一个玩·~~
  • 2010/7/8 17:21:44   支持(10)反对(10) 回复
  • 26.大通钢铁
  • 互联网真的“非常不安全”。
  • 2010/7/8 22:16:34   支持(13)反对(13) 回复
  • 27.88010410
  • 其实没有绝对安全的!
    我给你说个原理
    假如我是黑客
    首先我要修改你客户端程序
    诱惑你输入正确的密码然后提示你密码错误
    而这时我已经用你输入的密码成功登陆
  • 2010/7/13 1:56:41   支持(17)反对(17) 回复
  • 28.吴少
  • 感觉腾讯QQ令牌挺坑的用着用着没有电了怎么修啊?还是免费换? 坏了也不说怎么弄悲催啊
  • 2015/6/16 15:22:51   支持(8)反对(8) 回复
  • 29.cico1986
  • QQ如何能够提高安全等级呢?若实现usb key对于大多数QQ用户群体来说不是一件十分容易的事情,而且QQ通信也到不了那样的安全等级,采取这样的方案也没有很大的必要。其次,使用对称密钥,成本很低,对于普通用户的QQ安全性,完全可以达到。
  • 2010/7/7 22:03:14   支持(9)反对(10) 回复
  • 30.欧阳海卫
  • 如果是Google令牌或者facebook令牌还是有点道理的,QQ本身就有安全隐患,像让QQ将少被盗风险就是平时少用QQ
    闲杂人等 于 2010-7-7 23:58:25 回复
    为了不被盗,应该不用QQ
    gravity0 于 2010-7-8 0:41:26 回复
    @pufei: 从近期一系列“哔——(敏感词)”案来看,我希望最高法秉承对人民负责的态度,宣布凡使用QQ软件导致入狱者,应算作投案自首。
    杰伦迷迷 于 2010-7-8 17:12:50 回复
    人家分析QQ令牌还得列举一下其他公司发布的类似产品?那某个汽车公司出了一款新车,介绍这款新车的时候我们是不是还要讲汽车的历史讲一遍?
  • 2010/7/7 22:14:17   支持(11)反对(12) 回复
  • 31.hzlzh
  • 难道要去买个这个?现在一直用的是密保卡绑定。
  • 2010/7/7 22:20:34   支持(12)反对(13) 回复
  • 32.zephyr
  • 网易早就有了。。。而且有一个缺点就是,一旦服务器端和这种东西的数据库不同步了,那用这种东西的人就都不能登录了。。。
  • 2010/7/8 0:09:21   支持(10)反对(11) 回复
  • 33.果冻
  • 这不就是跟网易将军令一个样子吗,或者说又是抄袭的将军令吗。而且长得比将军令丑多了
    Felix 于 2010-7-8 0:24:54 回复
    你为什么又要+抄袭这两个字呢 为甚一款好服务出现 只要之前有类似储安平就认为是抄袭?那人类岂不是早就断子绝孙了?因为没有第二对人ML 只有第一对人是纯正的 正统 合法的 完美的 就算他们是近亲
    subaosodmi 于 2010-7-8 9:33:58 回复
    你怎么不提下网易之前还有个盛大密保?
    杰伦迷迷 于 2010-7-8 17:15:12 回复
    人家分析QQ令牌还得列举一下其他公司发布的类似产品?那某个汽车公司出了一款新车,介绍这款新车的时候我们是不是还要讲汽车的历史讲一遍?
    dsfklj3829 于 2014-5-9 11:41:51 回复
    在此推荐 有一位高手口口86017338我的QQ被盗了 就是他们帮忙找回的 希望能帮助大家 他们专业查QQ聊天记录,微信聊天记录,恢复删除的聊天记录,手机通话记录,手机短信,手机定位找人等。
  • 2010/7/8 0:12:59   支持(12)反对(13) 回复
  • 34.neweyes
  • 中国银行的网银早就用上这个了,还不错,挺方便
  • 2010/7/8 10:19:54   支持(9)反对(10) 回复
  • 35.梧桐下
  • 这个不够方便,我是不高兴随身带着一个这么大的玩意
  • 2010/7/8 13:54:40   支持(16)反对(17) 回复
  • 37.泥博客
  • 整天需要带着这个令牌不是QQ男女所喜欢吧。
    哈喽 于 2014-11-29 12:20:42 回复
    不晓得
  • 2010/7/11 1:36:23   支持(12)反对(13) 回复
  • 38.flying1617
  • 这破东西。也就学习最初网易的将军令。
    TX只会搬别人的东西。
    真以为这东西很安全的么?
    你们搜搜关于将军令的新闻吧。
    这年头,病毒是无所不在的。
    以前总以为最安全的将军令式的密保早就不安全了。
    TX也就想要钱而已。
    一个这样的东西就要30。
    不过也不怕没人买。
    毕竟中国这样那样的NC多的是。
  • 2010/7/28 11:47:52   支持(15)反对(16) 回复
  • 39.慧勇网
  • 我都被绕糊涂了。

    QQ令牌拿到手,就不用登陆密码吗?
  • 2013/6/20 18:31:18   支持(7)反对(8) 回复
  • 40.8888866666
  • 我要个密保卡啊 我的号总是被人账号申诉盗走啊
  • 2013/8/12 10:56:47   支持(8)反对(9) 回复
  • 41.巫青
  • 我坚信,主动带这玩意儿的人会很少!
    哈喽 于 2014-11-29 12:21:33 回复
    你坚信 我支持
  • 2010/7/7 22:07:44   支持(12)反对(14) 回复
  • 42.旁观者
  • 某部门想获取你的QQ账号及聊天信息,是不需要令牌的,命令就能办到。
    hxsh 于 2010-7-12 23:04:35 回复
    甚是
  • 2010/7/8 10:41:16   支持(10)反对(12) 回复
  • 44.dsa
  • 说实话!QQ被盗了我也无所谓。
    盗了正好!
    哈喽 于 2014-11-29 12:19:29 回复
    为什么呢?
  • 2010/7/27 9:14:12   支持(10)反对(12) 回复
  • 45.呆呆地
  • 我带这玩应了,照样被盗了700多元的东西。
  • 2011/2/1 14:02:24   支持(14)反对(16) 回复
  • 47.54ujh
  • 如果腾讯的算法被黑客获知了呢,即使外部人员遇到这种情况的可能性很低,但是一旦发生,同样很危险,所以没有绝对的安全。
  • 2010/7/7 22:37:16   支持(10)反对(13) 回复
  • 49.暮光博客
  • 现在能看到月光自己写的文章真不容易!
  • 2010/7/8 8:04:31   支持(8)反对(11) 回复
  • 50.jiangblog
  • 再加一个方案可以确保安全,用户在使用过程中可以用一个特定的用户名和QQ令牌的动态密码,这个用户名和QQ号码绑定。跟中国银行的那个动态密码技术相似。我认为中国银行网上银行的那套技术是万无一失。
  • 2010/7/8 8:36:37   支持(9)反对(12) 回复
  • 51.西子轩
  • 我觉得就是很有用的东西,我经常玩黑客真的很要这个
  • 2010/7/8 12:34:10   支持(10)反对(13) 回复
  • 52.金山网盾官方博客
  • 我用的是QQ手机令牌,可以分析一下这个的安全性吗。
  • 2010/7/9 11:36:12   支持(7)反对(10) 回复
  • 53.fekoo
  • 谋万世全局者
    这个对我就没用了。我对QQ的安全性不是担心hacker,是担心腾讯自己~~! 这个倒是真的~~
  • 2010/7/10 3:50:45   支持(13)反对(16) 回复
  • 55.了解网
  • 这个东西就是带起麻烦,不方便
  • 2010/7/8 9:57:37   支持(12)反对(16) 回复
  • 56.jimmy
  • "一旦QQ令牌被盗,用户的密码即被破解"
    怕不是这样吧,QQ令牌被盗不可能等于用户密码被破解,用户的QQ密码自己才知道,和QQ令牌有什么关系?QQ令牌只是多加了一层认证而已。
    杰伦迷迷 于 2010-7-8 17:14:54 回复
    通过这个,可以迅速的申诉修改密码,基本上是一路绿灯,所以丢了QQ令牌,那么QQ基本上算是丢了。。。
  • 2010/7/8 10:11:40   支持(9)反对(13) 回复
  • 58.quickmind
  • 腾迅QQ令牌没有他广告中所说的那样有用,在欺骗用户,本人就是QQ令牌的受害者,之前就是看到腾迅网页上的广告我买了个,因相信QQ令牌,不想绑在朋友手机上,就把手机给解绑了,结果没几天给给人把我的号给盗了,我价值2500多的号就这样就没了,我现在还找不回来呀,我之前一直是在同一网吧上网的,现在那网吧没了,我用我朋友的电脑去申请找回,现在还没通过,惨呀!我给盗的帐号:617336752 游戏角色名:叩叩叩⌒laop,广东9区的。
    虚幻 于 2011-5-19 23:38:46 回复
    呵呵... 仅针对QQ登陆...
  • 2010/8/8 15:54:25   支持(11)反对(15) 回复
  • 59.nJ
  • 这种东西九城和网易早就推出了。此文实在没什么新鲜感,和价值。
  • 2010/7/8 14:01:31   支持(9)反对(14) 回复
  • 60.seaxking
  • 啊。将来是不是应该国家统一,就像身份证,每个人一个usb key ,来绑定各种帐号啊。
  • 2010/7/8 15:07:23   支持(15)反对(20) 回复
  • 61.ninegod
  • 我觉得并没有密保卡安全。。。
    盗取后就能登陆。。。
    魔兽世界因为用这个而丢帐号的多了去了。。1分钟可以干很多事情。
    88010410 于 2010-7-13 1:59:55 回复
    说的是
    其实没有绝对安全的!
    我给你说个原理
    假如我是黑客
    首先我要修改你客户端程序
    诱惑你输入动态密码然后提示你密码错误(其实不管你如何输入都是提示密码错误)
    而这时我已经用你输入的动态密码成功登陆
  • 2010/7/7 22:14:19   支持(9)反对(15) 回复
  • 63.日光博客
  • 貌似互联网不安全啊~~什么都是相对的,没有绝对安全的
  • 2010/7/8 18:25:07   支持(8)反对(15) 回复
  • 64.阿DD
  • 我什么都绑了还是给人好友申诉走了。只要知道你IP所在地,同时加上3-5个好友,观察你在QQ业务上的情况就能申诉,成功率也不低。现在的申诉不像以前那样以身份证为最高级条件。我有过痛苦经历,无奈只能一直充会员来保护自己的号。
  • 2010/7/7 22:14:30   支持(10)反对(24) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.