騰訊qq令牌是騰訊推出的一項(xiàng)保護(hù)qq帳號(hào)及游戲帳號(hào)安全的密保產(chǎn)品��,該令牌是一款鎖扣型的實(shí)物產(chǎn)品��,可掛在鑰匙扣上隨身攜帶����。當(dāng)qq用戶完成令牌綁定后���,按下qq令牌的按鍵,會(huì)在液晶屏上顯示6位動(dòng)態(tài)密碼用于qq身份驗(yàn)證��,用戶在電腦上輸入正確密碼才能繼續(xù)操作����。
在幾年前,騰訊曾經(jīng)推出類似的“qq密??ā泵赓M(fèi)服務(wù),通過(guò)紙質(zhì)的卡片模擬動(dòng)態(tài)密碼形式登錄���,月光博客曾經(jīng)分析過(guò)���,“qq密保卡”雖然節(jié)省了成本,但是安全性卻遠(yuǎn)遠(yuǎn)低于動(dòng)態(tài)密碼鎖��,qq密?����?ú](méi)有使得qq的登錄安全性發(fā)生本質(zhì)的變化����,要想實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全,具有硬件介質(zhì)的動(dòng)態(tài)密碼鎖和usb key才能使得安全性得到一個(gè)質(zhì)的突破���,而現(xiàn)在�����,騰訊終于推出了具有硬件介質(zhì)的動(dòng)態(tài)密碼鎖產(chǎn)品:qq令牌�����,那么qq令牌的安全性到底如何呢���?
[align=center][upload=jpg]2010722231427-1.jpg[/upload][/align]
[align=center]qq密保卡[/align]
[align=center][upload=jpg]2010722231451-1.jpg[/upload][/align]
[align=center]qq令牌[/align]
動(dòng)態(tài)密碼認(rèn)證技術(shù)
qq令牌使用的是動(dòng)態(tài)密碼技術(shù)�����,這是目前較為流行的身份認(rèn)證硬件產(chǎn)品,可以實(shí)現(xiàn)較為安全的身份認(rèn)證���。
動(dòng)態(tài)密碼(dynamic password)也稱一次性密碼���,它指用戶的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化,每個(gè)密碼只使用一次���。動(dòng)態(tài)密碼采用一種稱之為動(dòng)態(tài)令牌的專用硬件,內(nèi)置電源����、密碼生成芯片和顯示屏。下圖是這種產(chǎn)品的外觀��,其中數(shù)字鍵用于輸入用戶pin碼���,顯示屏用于顯示一次性密碼�����。每次輸入正確的pin碼��,都可以得到一個(gè)當(dāng)前可用的一次性動(dòng)態(tài)密碼�����。
[align=center][upload=jpg]2010722231514-1.jpg[/upload][/align]
[align=center]動(dòng)態(tài)密碼鎖[/align]
這種產(chǎn)品的密碼生成芯片運(yùn)行專門(mén)的密碼算法�����,根據(jù)當(dāng)前時(shí)間以及使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上����。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生����,只有合法用戶才持有該硬件,所以只要密碼驗(yàn)證通過(guò)���,系統(tǒng)就可以認(rèn)為該用戶的身份是可靠的��。而用戶每次使用的密碼都不相同��,即使黑客截獲了一次密碼�,也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶的身份��,因?yàn)橄乱淮蔚卿洷仨毷褂昧硗庖粋€(gè)動(dòng)態(tài)密碼。
基于pin碼保護(hù)的動(dòng)態(tài)密碼
動(dòng)態(tài)密碼鎖需要兩個(gè)密碼要素�,一個(gè)要素是靜態(tài)pin碼,由用戶自行設(shè)置�、保管。另一個(gè)要素是動(dòng)態(tài)密碼��,由密碼令牌動(dòng)態(tài)生成�����,不可預(yù)測(cè)���,并且與后臺(tái)服務(wù)器的接入控制保持同步��,由后臺(tái)服務(wù)器進(jìn)行檢驗(yàn)��。因此,用戶必需輸入正確的靜態(tài)pin碼和動(dòng)態(tài)密碼���,才能通過(guò)身份認(rèn)證���。
動(dòng)態(tài)密碼鎖本身需要輸入pin碼才能使用,靜態(tài)pin碼的安全要素在于�,這個(gè)pin碼不是在電腦上輸入的�,而是在密碼鎖上輸入的��,這樣�,所有的黑客木馬程序從理論上講都全部失效,因?yàn)檫@些木馬根本不可能在另外一個(gè)硬件密碼鎖上運(yùn)行��。
黑客要想破解用戶密碼�,首先要從物理上獲得用戶的動(dòng)態(tài)密碼鎖,其次還要獲得用戶的pin碼��,這樣���,黑客必須潛入用戶家中(電腦黑客還需要學(xué)習(xí)普通竊賊的技術(shù))�����,偷取了動(dòng)態(tài)密碼鎖����,然后再破解pin碼��。沒(méi)有用戶pin碼依舊無(wú)法使用��,而通常情況下動(dòng)態(tài)密碼鎖本身具有一定安全保護(hù)功能���,錄入pin碼錯(cuò)誤10次就會(huì)自動(dòng)鎖死而無(wú)法使用�。這也保證了動(dòng)態(tài)密碼鎖物理上的安全性。
動(dòng)態(tài)密碼技術(shù)可以完美解決客戶端用戶的安全性問(wèn)題����,因?yàn)楹诳蜔o(wú)論使用什么方法,也無(wú)法方便的竊取用戶的密碼�����,即使黑客竊取了一次密碼也無(wú)法登錄使用����。
動(dòng)態(tài)密碼的類型
動(dòng)態(tài)口令硬件令牌從技術(shù)角度分析包括以下三種形式:基于時(shí)間同步、基于事件同步����、挑戰(zhàn)應(yīng)答方式。
時(shí)間同步:基于動(dòng)態(tài)口令令牌和服務(wù)器的時(shí)間同步��,通過(guò)運(yùn)算來(lái)生成一致的動(dòng)態(tài)口令�,一般更新率為60秒��,每60秒產(chǎn)生一個(gè)新口令����,要求服務(wù)器能夠十分精確的保持正確的時(shí)鐘�����,同時(shí)對(duì)其令牌的晶振頻率有嚴(yán)格的要求���。
從另一方面,基于時(shí)間同步的令牌在每次進(jìn)行認(rèn)證時(shí)����,服務(wù)器端將會(huì)檢測(cè)令牌的時(shí)鐘偏移量,相應(yīng)不斷的微調(diào)自己的時(shí)間記錄�,從而保證了令牌和服務(wù)器的同步,確保日常的使用��,目前可以通過(guò)增大偏移量的技術(shù)(前后10分鐘)來(lái)進(jìn)行遠(yuǎn)程同步��,確保其能夠繼續(xù)使用�����,降低對(duì)應(yīng)用的影響��。
事件同步:基于事件同步的令牌,其原理是通過(guò)某一特定的事件次序及相同的種子值作為輸入���,通過(guò)加密算法運(yùn)算出一致的密碼���,不受時(shí)鐘的影響,由于其算法的一致性�����,其口令是預(yù)先可知的����,通過(guò)令牌,你可以預(yù)先知道今后的多個(gè)密碼��?�;谑录降牧钆仆瑯哟嬖谑ネ降娘L(fēng)險(xiǎn)�����,例如用戶多次無(wú)目的的生成口令等�,事件同步的服務(wù)器使用增大偏移量的方式進(jìn)行再同步,其服務(wù)器端會(huì)自動(dòng)向后推算一定次數(shù)的密碼�,來(lái)同步令牌和服務(wù)器。
挑戰(zhàn)應(yīng)答方式:常用于客戶端軟件���,在軟件上輸入服務(wù)端下發(fā)的挑戰(zhàn)碼�,客戶端上生成一個(gè)隨機(jī)數(shù)字��,這個(gè)動(dòng)態(tài)口令只能使用一次���,可以充分的保證登錄認(rèn)證的安全�。
qq令牌動(dòng)態(tài)密碼的優(yōu)點(diǎn)
[align=center][upload=jpg]2010722231451-1.jpg[/upload][/align]
[align=center]qq令牌[/align]
價(jià)格低:從技術(shù)上講�����,動(dòng)態(tài)密碼技術(shù)是比較完美的方案����,然而可惜的是,動(dòng)態(tài)密碼鎖的成本過(guò)高����,不太利于大規(guī)模使用?;跁r(shí)間同步的“qq令牌”相比而言價(jià)格較低,比較易于批量使用�,qq令牌就是使用的基于時(shí)間同步的動(dòng)態(tài)令牌�����,這種動(dòng)態(tài)令牌由于成本限制���,就沒(méi)有保護(hù)pin碼,別人偷盜這張卡片即可冒名登錄�,其安全性相比具有pin碼的動(dòng)態(tài)密碼鎖還有一定差距。
使用簡(jiǎn)便:在使用上�,qq令牌較為簡(jiǎn)單易用,當(dāng)正常啟動(dòng)時(shí)���,會(huì)在液晶屏上顯示6位動(dòng)態(tài)密碼�,在一分鐘后�����,動(dòng)態(tài)密碼自動(dòng)消失����,用戶需要再次按下按鍵,重新獲取動(dòng)態(tài)密碼����。
跨平臺(tái):qq令牌無(wú)需安裝�,無(wú)需usb接口��,沒(méi)有驅(qū)動(dòng)��,可在任何平臺(tái)上使用���,相比usb key來(lái)說(shuō)安裝和使用很簡(jiǎn)單。
qq令牌動(dòng)態(tài)密碼的缺點(diǎn)
缺少pin碼:qq令牌因?yàn)楣?jié)省成本�,沒(méi)有鍵盤(pán),因此也就沒(méi)有pin碼保護(hù)�,用戶每按一次按鈕就可以生成一個(gè)密碼,一旦qq令牌被盜��,用戶的密碼即被破解����,用戶需要努力保護(hù)自己的qq令牌在物理層面不被他人盜取,一旦被盜�����,也應(yīng)該及時(shí)掛失�����。相比來(lái)說(shuō)有pin碼保護(hù)動(dòng)態(tài)密碼鎖,硬件和pin碼構(gòu)成了的兩個(gè)安全因素����。如果用戶pin碼被泄漏,只要密碼鎖本身不被盜用即安全��。即使密碼鎖被盜��,黑客不知道pin碼也無(wú)法使用��,破解pin碼并不容易����,大部分動(dòng)態(tài)密碼鎖對(duì)于多次錯(cuò)誤輸入pin碼后,都會(huì)自動(dòng)鎖定�����,無(wú)法使用�����,需要管理員來(lái)解鎖���。
單鑰加密的認(rèn)證安全:雖然動(dòng)態(tài)密碼鎖的安全性的確不錯(cuò)��,然而����,動(dòng)態(tài)密碼技術(shù)也有一個(gè)安全隱患,就是服務(wù)器端的安全性�����。動(dòng)態(tài)密碼的本質(zhì)是單鑰加密����,密鑰只有一個(gè)�����。在服務(wù)器端的認(rèn)證系統(tǒng)里�����,可以計(jì)算出所有動(dòng)態(tài)密碼���,因此黑客如果將精力放在破解認(rèn)證服務(wù)器系統(tǒng)���,那么還是有可能對(duì)系統(tǒng)造成一定安全威脅�����,另外這個(gè)系統(tǒng)也依賴于服務(wù)器的管理員�,服務(wù)器的管理員可以在服務(wù)器端修改動(dòng)態(tài)密碼鎖的規(guī)則��,模擬用戶登錄���,也具有一定的安全隱患�����。而usb key通過(guò)雙鑰加密的技術(shù)實(shí)現(xiàn)安全的認(rèn)證���,將私鑰保存在usb key中,服務(wù)器端無(wú)法模擬���,就可以彌補(bǔ)動(dòng)態(tài)密碼鎖的某些安全性的隱患����。
[align=center][upload=jpg]2010722231601-1.jpg[/upload][/align]
[align=center]usb key[/align]
結(jié)論
總的來(lái)說(shuō)�,“qq令牌”的安全性遠(yuǎn)遠(yuǎn)高于“qq密保卡”,但因?yàn)楣?jié)省成本而缺少pin碼����,其安全性還是低于常規(guī)的動(dòng)態(tài)密碼產(chǎn)品,因此����,“qq令牌”應(yīng)隨身攜帶,并盡量避免“qq令牌”被他人借用或通過(guò)其他方式獲得���,否則會(huì)給自己的qq帳號(hào)帶來(lái)很大的安全問(wèn)題���。一旦“qq令牌”丟失�,應(yīng)該在第一時(shí)間內(nèi)登錄系統(tǒng)掛失,以免賬戶安全受到威脅�����。
該文章在 2010/7/22 23:18:26 編輯過(guò)
400 186 1886
