月光博客 » 网站建设 » MSN和Gtalk的本地密码存在严重漏洞

MSN和Gtalk的本地密码存在严重漏洞

  我原先以为微软和Google在用户帐号安全上应该是专家,看来我又看走眼了,因为凑巧看到一款黑客工具MessenPass,可以直接显示本地MSN和Gtalk等聊天工具的密码,由此可以直接破解用户Hotmail和Gmail的密码,这显示MSN和Gtalk的本地存放密码的方式存在严重漏洞。

  MSN和Gtalk最为严重的错误,就是将用户的密码保存在本地,即使使用了对称或者不对称加密算法对密码进行了加密,但最终登录的时候,还是会解密密码并发送给服务器端,这个错误导致了黑客只需要将这个木马上传到用户电脑上,运行后就可以窃取用户的Hotmail和Gmail的密码。

  真正安全的密码存放方式其实很简单,就是不要存放原始密码到本地电脑,而是存放密码+用户+安全码的散列值(Hash值)到用户本地,就可以解决这个安全问题。不直接使用密码的散列值,而是使用这三个参数之和的散列值,是为了防止相同的密码出现相同散列值被人猜测,加入安全码可以增加破解难度,黑客需要先破解安全码,使用散列算法(如MD5或SHA1等)是因为散列算法是单向不可逆的,黑客即使得到散列数值,也不可能反算出用户的密码。

  这样,现在的登录方式,就可以修改为,MSN和Gtalk保存用户名和三个参数之和的散列值,登录时候传输这些参数到服务器,服务器端判断登录类型,如果是散列值登录,则将用户传送过来的用户名和散列值,与服务器端保存的用户名密码等参数算出来的散列值进行比较,如果相同则表示可以登录,不同则表示密码错误,不能登录。

  当然,此方法只是最基本的实现安全登录的方法,更详细的安全登录方法请参见我另一篇文章《网站的安全登录认证设计》。

  我以前一直以为微软和Google这些网络巨头在应用程序的安全性上应该是不错的,没想到竟然会在用户密码上存在这么严重的缺陷和漏洞,看来国外的产品也不可靠啊。这其中最主要的原因,我看是国外的整体网络发展较为健康,没有那种黑客生存的产业链,而在中国国内,黑客木马程序的开发和销售、盗取网络游戏帐号和QQ帐号、销售游戏帐号和QQ币等早已经发展成为一种分工明确的“地下产业”,早期已经令中国各大网络公司头痛不已,纷纷推出相应的安全解决方案,所以国内相关的网络软件,登录密码早就不存在这种缺陷漏洞了。

  对于Google来说,解决这个缺陷漏洞尤为紧迫,因为Gtalk帐号就是Google帐号,可以直接登录用户的AdWords和AdSense,操纵用户的财务信息,甚至将用户帐号下的金额转账给他人,这对于使用Google这些业务的用户来说实在是一个严重的威胁,如果不尽快解决,后果堪忧。对于当前使用MSN和Gtalk的用户,建议不要设置自动登录,而是设置为每次手动输入密码登录。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    SILENT   说道:
    我好像从来没担心过这个问题,因为帐号本身不值钱
    支持(12反对(4回复
  1. 2
    无名   说道:
    这种工具早就有了
    包括上网帐号密码
    邮件客户端密码
    只要保存了
    都可以自动获取的
    支持(12反对(8回复
  1. 3
    leejonkang   说道:
    这个错误是不是太低级了。。
    支持(12反对(8回复
  1. 4
    xing   说道:
    这些软件全中国几乎没几个用,无聊
    支持(11反对(7回复
  1. 5
    days72115   说道:
    MSN已经慢成那个胎唇样了,在要给个hash的序列过去,MSN的掉线几率又会增加了。
    产生的hash还是需要有key才能生成,如果要记录的话,还是可以记录到的。
    支持(10反对(6回复
  1. 6
    LiKing   说道:
    这其中最主要的原因,我看是国外的整体网络发展较为健康,没有那种黑客生存的产业链,而在中国国内,黑客木马程序的开发和销售、盗取网络游戏帐号和QQ帐号、销售游戏帐号和QQ币等早已经发展成为一种分工明确的“地下产业”
    ——————————————————————
    这个有些道理,可是国外也不是完全没有这种盗号的,这样还是觉得M$和Google做得不好。
    支持(13反对(9回复
  1. 7
    哮天吼   说道:
    啊?!大跌眼镜!!
    支持(9反对(6回复
  1. 8
    流星   说道:
    国外黑客也很多啊,比如俄罗斯黑客啊
    美国之前也发生过信用卡丢失案例啊
    我觉得,中国的黑客产业链还处于相对低端,因为用户使用习惯问题
    当中国大量人开始使用信用卡消费时候,类似事件就会更多了
    支持(7反对(4回复
  1. 9
    takwai   说道:
    很久之前都是这样子了,也许国外盗取MSN和Google账号的木马是少数吧,不像的QQ这么多。

    所以这两家的密码问答设置只要知道密码就能改掉…一点安全性都没。
    支持(12反对(9回复
  1. 10
    小海白   说道:
    有个智能广播的软件是用硬体密钥的方式的,只有在机箱后面插上那块东西才能正常启动系统
    支持(10反对(7回复
  1. 11
    ccc   说道:
    8楼说的对啊,拿到散列值跟拿到密码差别也不大了
    支持(7反对(5回复
  1. 12
    bear   说道:
    这么严重啊,我咋就没发现呢
    支持(8反对(6回复
  1. 13
    John   说道:
    好在不常用这两个
    支持(10反对(8回复
  1. 14
    HenryHu   说道:
    有了散列值,登录之后有可能可以改密码啊……
    原来这个就是改密码的时候要求输入原密码的原因……
    支持(10反对(8回复
  1. 15
    TEc   说道:
    真的吗,这种事真的有吗,截个图来看看
    支持(7反对(5回复
  1. 16
    女人坊   说道:
    不会吧.你就别吓我啦....怕怕...
    支持(8反对(6回复
  1. 17
    me   说道:
    学习一下,呵呵。
    支持(8反对(6回复
  1. 18
    IwfWcf   说道:
    汗......这种工具有了很久了吧......
    支持(6反对(5回复
  1. 19
    wesai   说道:
    学习...支持...
    支持(10反对(9回复
  1. 20
    如果爱   说道:
    我试试.....呵呵...
    支持(6反对(5回复
  1. 21
    cid   说道:
    不是很清楚MSN现在的验证方式,以前玩过MSN4.0时的协议,并不是直接传密码到Server的。以正常的登录过程来说,
    1.MSN Client向Server发出登录请求,Server返回一个16位MD5串
    2.MSN Client用MD5算法把这个串和密码生成散列,并连同用户名一起发送到Server, Server验证散列串而不是直接验证密码。
    那么为什么密码能得到破解?
    第一个可能,微软修改了原来的登录协议,在Http包中被检测,可这种可能性实在不大。
    第二可能,密码保存在本地时,加密强度不够,直接被破解.
    第三种可能,MSN Client读取本地保存的密码,并恢复成明码时,被监听到。
    到底是哪一种呢?或者还有其他方式?
    支持(7反对(6回复
  1. 22
    子木   说道:
    对于MSN可以破解,对于Gtalk似乎不能破解。Vista Bus SP1
    支持(9反对(9回复
  1. 23
    lovehr   说道:
    安全是国之大计,要常抓不泄!
    支持(9反对(9回复
  1. 24
    linfavourite   说道:
    没用Gtalk,至于MSN的密码……要来好像也没什么用说……
    支持(6反对(6回复
  1. 25
    ewayren   说道:
    我的adsense和gmail是分开的,呵呵!
    支持(8反对(8回复
  1. 26
    怡红阁   说道:
    黑客的技术通常都比较高
    像那么大的公司,我们放了一百个心,没想到也会惨造被盗
    支持(5反对(5回复
  1. 27
    月光光   说道:
    怕怕啊····
    支持(7反对(7回复
  1. 28
    白胖   说道:
    探讨一下,即使使用散列码存储和登录,如果能获取这个存在本地的散列或者截获发送给服务器的散列内容,一样能欺骗服务器进行登录。当然,这个避免了窃取密码以登录google其他服务的可能性,但是gtalk 和msn本身仍然可以被欺骗性地登录。
    支持(7反对(8回复
  1. 29
    阿布   说道:
    关键是上传木马到用户电脑不是这样简单的!~这样来说其他很多木马类程序可能更直接,比如直接盗你网银的木马
    支持(8反对(9回复
  1. 30
    w156   说道:
    还好平时没有用这些东东。
    支持(8反对(9回复
  1. 31
    博客优化   说道:
    没有没有漏洞的系统和软件
    支持(6反对(7回复
  1. 32
    peter   说道:
    顶这个,学习中
    支持(10反对(11回复
  1. 33
    weiwei   说道:
    多看长见识了 以后得注意一下了
    支持(5反对(6回复
  1. 34
    Sean   说道:
    理论上,unix,vista这类有用户权限的系统,明文保存都没问题的。

    因为要访问保存密码的文件,本身就要通过安全认证.
    支持(8反对(9回复
  1. 35
    超越梦想中原博客   说道:
    哇塞,现在我坐沙发了。williamlong到底什么来头,能力这么强?据我了解,国内所谓的黑客有两种,一种是为了钱,另一种是好奇,觉得好玩刺激。当好奇到一定程度后可能就转到对钱好奇了。其根本原因还是在品德问题。
    支持(6反对(8回复
  1. 36
    爱燕博客   说道:
    啊,不是吧。后果严重啊!
    支持(7反对(9回复
  1. 37
    粉红娘娘   说道:
    QQ密码本地存储有漏洞吗?
    支持(3反对(5回复
  1. 38
    一亿度   说道:
    AdWords和AdSense这个确实很重要,所以最好是使用不同的Google帐号,比如我,就有三个Google帐号,MSN号更是六七个,当然常用的也就两个。
    支持(4反对(6回复
  1. 39
    dosou   说道:
    恐怖呀!看样子,以后得注意安全了
    支持(6反对(8回复
  1. 40
      说道:
    放本地和网络上的密码是有些不同,可惜这不能叫严重漏洞,甚至连漏洞都算不上.
    支持(6反对(8回复
  1. 41
    回到过去   说道:
    学习做网站中
    经常来看看
    支持(4反对(6回复
  1. 42
    Siuloong   说道:
    好象在网络世界里,没有什么绝对安全
    支持(5反对(8回复
  1. 43
    xiaoqi   说道:
    “存放密码+用户+安全码的散列值(Hash值)到用户本地,就可以解决这个安全问题。”
    支持(7反对(10回复
  1. 44
    yujian   说道:
    哇,月光连密码学都会,你是什么人阿?
    支持(3反对(6回复
  1. 45
    仲和   说道:
    这好像是一片国外的文章.月光你忘了说明
    支持(7反对(10回复
  1. 46
    socoolest   说道:
    学习...支持..
    支持(6反对(10回复
  1. 47
    郭Guo   说道:
    不错,忘了自己密码不用愁了
    支持(6反对(10回复
  1. 48
    williamlong   说道:
    引自 ccc
    8楼说的对啊,拿到散列值跟拿到密码差别也不大了

    差别不大,你觉得用户能登录Gtalk和能登陆Adwords和Adsense差别不大吗?使用散列值至少不能让黑客登录一些关键性的Google服务。
    支持(7反对(11回复
  1. 49
    Doll   说道:
    Gtalk推出的当天它的密码算法就被推出来了. 这没什么, 除非通过比较特别的手段获取. 因为GTalk的密码是存储在注册表的HKCU下的, 估计权限比较麻烦才能获取到. 如果能获取到这个权限, 拿密码的作用也不大了.
    另22:QQ的密码算法散列不一样, 是HASH和服务器的校验, 无法还原到实际的密码.
    支持(4反对(8回复
  1. 50
    blue   说道:
    我从来不设置任何IM成自动登录。
    支持(3反对(7回复
  1. 51
    程远志   说道:
    "这其中最主要的原因,我看是国外的整体网络发展较为健康,没有那种黑客生存的产业链"

    这句话很不认同啊

    支持(4反对(9回复
  1. 52
    夜郎布衣   说道:
    网络那有绝对的安全..
    支持(6反对(11回复
  1. 53
    tmpf   说道:
    学习到新东西了!
    支持(4反对(9回复
  1. 54
    iiren   说道:
    原来这么不安全
    支持(6反对(11回复
  1. 55
    一亿度   说道:
    30楼的,要看截图我那儿有
    支持(4反对(10回复
  1. 56
    Scofield   说道:
    安全问题啊,盼望早日解决
    支持(3反对(9回复
  1. 57
    BlueDrifter   说道:
    “Google推出KeyCzar软件加密工具”

    没有想到Google还发布加密软件,结果后院起火,竟然……
    支持(4反对(10回复
  1. 58
    小栋   说道:
    看来得小心我的G码了,月光提示很不错,哈哈
    支持(7反对(14回复

发表留言