腾讯QQ密保卡是腾讯推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码)时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作。从安全产品上来看,QQ密保卡使用了类似动态密码锁的技术,但成本远远低于动态密码锁,但是这种QQ密保卡的安全性到底如何呢?
由于密保卡每次随机选择三个方格中的数字作为临时动态密码,因而,这一动态密码每次都是不同的,即使盗号木马病毒窃取了您某一次输入的密码,也无法使用这个密码继续通过验证。目前QQ密保卡可以免费下载使用。
从安全产品上来看,QQ密保卡使用了类似动态密码锁的技术,但成本远远低于动态密码锁,但是这种QQ密保卡的安全性到底如何呢?
我们知道,动态密码(Dynamic PassWord)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。
从理论上将,这种动态令牌产生的一次性密码数量可以是海量的,重复的可能性非常低,因此,即使黑客截获了很多次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个新的动态密码。
但是,QQ密保卡的安全性能够达到动态令牌的安全程度吗?由于没有硬件动态令牌,QQ密保卡的密码并非一次性密码,而是若干次后的循环使用,这种方式虽然节省了成本,但是安全性却远远低于动态密码锁,黑客破解这种密保卡还是费不了多少功夫的。如果黑客同时安装了截取屏幕和键盘的木马工具,那么截取十几次用户登录输入的密码,就可以截获一半左右的QQ密保卡密码,这时黑客就可以尝试自己通过截取的密码进行登录了,有了一半的数据,基本上尝试几次就可以碰的上。
另一个安全衡量是介质的安全,举例来说,如果黑客知道了用户的QQ号码,又通过某种手段得到了用户的QQ密保卡,那么就可以冒充用户进行登录使用。但如果使用USB Key或动态密码锁就不同了,即使加密锁丢失了,黑客也无法使用其登录,因为其不知道用户的PIN码,没有PIN码就无法使用USB Key和动态密码锁。
因此,QQ密保卡并没有使得QQ的登录安全性发生本质的变化,要想实现真正的网络安全,具有硬件介质的动态密码锁和USB Key才能使得安全性得到一个质的突破,就成本而言,USB Key还是具有相当大的优势,目前最便宜的USB Key成本已经在二十元以内了。