月光博客 » 网站建设 » MSN和Gtalk的本地密码存在严重漏洞

MSN和Gtalk的本地密码存在严重漏洞

  我原先以为微软和Google在用户帐号安全上应该是专家,看来我又看走眼了,因为凑巧看到一款黑客工具MessenPass,可以直接显示本地MSN和Gtalk等聊天工具的密码,由此可以直接破解用户Hotmail和Gmail的密码,这显示MSN和Gtalk的本地存放密码的方式存在严重漏洞。

  MSN和Gtalk最为严重的错误,就是将用户的密码保存在本地,即使使用了对称或者不对称加密算法对密码进行了加密,但最终登录的时候,还是会解密密码并发送给服务器端,这个错误导致了黑客只需要将这个木马上传到用户电脑上,运行后就可以窃取用户的Hotmail和Gmail的密码。

  真正安全的密码存放方式其实很简单,就是不要存放原始密码到本地电脑,而是存放密码+用户+安全码的散列值(Hash值)到用户本地,就可以解决这个安全问题。不直接使用密码的散列值,而是使用这三个参数之和的散列值,是为了防止相同的密码出现相同散列值被人猜测,加入安全码可以增加破解难度,黑客需要先破解安全码,使用散列算法(如MD5或SHA1等)是因为散列算法是单向不可逆的,黑客即使得到散列数值,也不可能反算出用户的密码。

  这样,现在的登录方式,就可以修改为,MSN和Gtalk保存用户名和三个参数之和的散列值,登录时候传输这些参数到服务器,服务器端判断登录类型,如果是散列值登录,则将用户传送过来的用户名和散列值,与服务器端保存的用户名密码等参数算出来的散列值进行比较,如果相同则表示可以登录,不同则表示密码错误,不能登录。

  当然,此方法只是最基本的实现安全登录的方法,更详细的安全登录方法请参见我另一篇文章《网站的安全登录认证设计》。

  我以前一直以为微软和Google这些网络巨头在应用程序的安全性上应该是不错的,没想到竟然会在用户密码上存在这么严重的缺陷和漏洞,看来国外的产品也不可靠啊。这其中最主要的原因,我看是国外的整体网络发展较为健康,没有那种黑客生存的产业链,而在中国国内,黑客木马程序的开发和销售、盗取网络游戏帐号和QQ帐号、销售游戏帐号和QQ币等早已经发展成为一种分工明确的“地下产业”,早期已经令中国各大网络公司头痛不已,纷纷推出相应的安全解决方案,所以国内相关的网络软件,登录密码早就不存在这种缺陷漏洞了。

  对于Google来说,解决这个缺陷漏洞尤为紧迫,因为Gtalk帐号就是Google帐号,可以直接登录用户的AdWords和AdSense,操纵用户的财务信息,甚至将用户帐号下的金额转账给他人,这对于使用Google这些业务的用户来说实在是一个严重的威胁,如果不尽快解决,后果堪忧。对于当前使用MSN和Gtalk的用户,建议不要设置自动登录,而是设置为每次手动输入密码登录。

MSN和Gtalk的本地密码存在严重漏洞

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    SILENT   说道:
    我好像从来没担心过这个问题,因为帐号本身不值钱
    支持(12反对(4回复
  1. 2
    无名   说道:
    这种工具早就有了
    包括上网帐号密码
    邮件客户端密码
    只要保存了
    都可以自动获取的
    支持(12反对(8回复
  1. 3
    leejonkang   说道:
    这个错误是不是太低级了。。
    支持(12反对(8回复
  1. 4
    xing   说道:
    这些软件全中国几乎没几个用,无聊
    支持(11反对(7回复
  1. 5
    days72115   说道:
    MSN已经慢成那个胎唇样了,在要给个hash的序列过去,MSN的掉线几率又会增加了。
    产生的hash还是需要有key才能生成,如果要记录的话,还是可以记录到的。
    支持(10反对(6回复
  1. 6
    LiKing   说道:
    这其中最主要的原因,我看是国外的整体网络发展较为健康,没有那种黑客生存的产业链,而在中国国内,黑客木马程序的开发和销售、盗取网络游戏帐号和QQ帐号、销售游戏帐号和QQ币等早已经发展成为一种分工明确的“地下产业”
    ——————————————————————
    这个有些道理,可是国外也不是完全没有这种盗号的,这样还是觉得M$和Google做得不好。
    支持(13反对(9回复
  1. 7
    哮天吼   说道:
    啊?!大跌眼镜!!
    支持(9反对(6回复
  1. 8
    流星   说道:
    国外黑客也很多啊,比如俄罗斯黑客啊
    美国之前也发生过信用卡丢失案例啊
    我觉得,中国的黑客产业链还处于相对低端,因为用户使用习惯问题
    当中国大量人开始使用信用卡消费时候,类似事件就会更多了
    支持(7反对(4回复
  1. 9
    takwai   说道:
    很久之前都是这样子了,也许国外盗取MSN和Google账号的木马是少数吧,不像的QQ这么多。

    所以这两家的密码问答设置只要知道密码就能改掉…一点安全性都没。
    支持(12反对(9回复
  1. 10
    小海白   说道:
    有个智能广播的软件是用硬体密钥的方式的,只有在机箱后面插上那块东西才能正常启动系统
    支持(10反对(7回复

发表留言