版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、本文档来源:月光博客,特此声明!充僅韦号:OOOQOOODOOOOCXMOOIHWL 13 冴LU甩”耳他聊1. * t vawMM.r a.Sft661?34567腾讯QQ令牌的安全性分析腾讯QQ令牌是腾讯推出的一项保护 QQ帐号及游戏帐号安全的密保产品,该令牌是一款锁扣型的实物产品, 可挂在钥匙扣上随身携带。当 QQ用户完成令牌绑定后,按下 QQ令 牌的按键,会在液晶屏上显示 6位动态密码用于 QQ身份验证,用户在电脑上输入正确密码 才能继续操作。在几年前,腾讯曾经推出类似的QQ密保卡”免费服务,通过纸质的卡片模拟动态密码形式登录,月光博客曾经分析过,“QC密保卡”虽然节省了成本,但是安全
2、性却远远低于动态密码锁,QQ密保卡并没有使得 QQ的登录安全性发生本质的变化,要想实现真正的网络 安全,具有硬件介质的动态密码锁和USB Key才能使得安全性得到一个质的突破,而现在,腾讯终于推出了具有硬件介质的动态密码锁产品:QQ令牌,那么QQ令牌的安全性到底如何呢?03 25 96 06 38 68 44 5758 08 46 91 40 52 05 6376 88 55 09 30 87 05 2719 09 84 11 22 76 17 3028 63 69 34 22 99 33 1933 71 21 66 04 41 05 5564 83 47 76 12 62 14 0839 0
3、4 62 78 60 83 28 4887 77 05 48 01 36 88 2995 16 22 95 46 21 42 36QQ密保卡QQ令牌动态密码认证技术QQ令牌使用的是 动态密码技术,这是目前较为流行的身份认证硬件产品,可以实现较 为安全的身份认证。动态密码(Dynamic Password)也称一次性密码, 它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。下图是这种产品的外观,其中数字键用于输入用户PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动
4、态密码。本文档来源:月光博客,特此声明!动态密码锁这种产品的密码生成芯片运行专门的密码算法,根据当前时间以及使用次数生成当前密码并显示在显示屏上。 认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要密码验证通过,系统就可以认为该用户的身份是可靠的。 而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份,因为下一次登录必须使用另外一个动态密码。基于PIN码保护的动态密码动态密码锁需要两个密码要素,一个要素是静态PIN码,由用户自行设置、保管。另一个要素是动态密码,由密码令牌动态生成,不可预
5、测,并且与后台服务器的接入控制保持 同步,由后台服务器进行检验。因此,用户必需输入正确的静态PIN码和动态密码,才能通过身份认证。动态密码锁本身需要输入 PIN码才能使用,静态 PIN码的安全要素在于,这个 PIN码 不是在电脑上输入的,而是在密码锁上输入的,这样,所有的黑客木马程序从理论上讲都全 部失效,因为这些木马根本不可能在另外一个硬件密码锁上运行。黑客要想破解用户密码, 首先要从物理上获得用户的动态密码锁,其次还要获得用户的PIN码,这样,黑客必须潜入用户家中(电脑黑客还需要学习普通窃贼的技术),偷取了动态密码锁,然后再破解 PIN码。没有用户PIN码依旧无法使用,而通常情况下动态密码
6、锁 本身具有一定安全保护功能,录入PIN码错误10次就会自动锁死而无法使用。这也保证了动态密码锁物理上的安全性。动态密码技术可以完美解决客户端用户的安全性问题,因为黑客无论使用什么方法,也无法方便的窃取用户的密码,即使黑客窃取了一次密码也无法登录使用。动态密码的类型动态口令硬件令牌从技术角度分析包括以下三种形式:基于时间同步、基于事件同步、 挑战应答方式。时间同步:基于动态口令令牌和服务器的时间同步,通过运算来生成一致的动态口令, 一般更新率为60秒,每60秒产生一个新口令,要求服务器能够十分精确的保持正确的时钟, 同时对其令牌的晶振频率有严格的要求。从另一方面,基于时间同步的令牌在每次进行认
7、证时,服务器端将会检测令牌的时钟偏移量,相应不断的微调自己的时间记录,从而保证了令牌和服务器的同步,确保日常的使用,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响。事件同步:基于事件同步的令牌, 其原理是通过某一特定的事件次序及相同的种子值作 为输入,通过加密算法运算出一致的密码,不受时钟的影响,由于其算法的一致性,其口令 本文档来源:月光博客,特此声明!是预先可知的,通过令牌,你可以预先知道今后的多个密码。 基于事件同步的令牌同样存在 失去同步的风险,例如用户多次无目的的生成口令等, 事件同步的服务器使用增大偏移量的 方式进行再同步,其服务器
8、端会自动向后推算一定次数的密码,来同步令牌和服务器。挑战应答方式:常用于客户端软件,在软件上输入服务端下发的挑战码,客户端上生成一个随机数字,这个动态口令只能使用一次,可以充分的保证登录认证的安全。QQ令牌动态密码的优点QQ令牌价格低:从技术上讲, 动态密码技术是比较完美的方案,然而可惜的是,动态密码锁的 成本过高,不太利于大规模使用。基于时间同步的“QQ令牌”相比而言价格较低,比较易于批量使用,QQ令牌就是使用的基于时间同步的动态令牌,这种动态令牌由于成本限制,就没有保护PIN码,别人偷盗这张卡片即可冒名登录,其安全性相比具有PIN码的动态密码锁还有一定差距。使用简便:在使用上,QQ令牌较为
9、简单易用,当正常启动时,会在液晶屏上显示6位动态密码,在一分钟后,动态密码自动消失,用户需要再次按下按键,重新获取动态密码。跨平台:QQ令牌无需安装,无需 USB接口,没有驱动,可在任何平台上使用,相比 U SB Key来说安装和使用很简单。QQ令牌动态密码的缺点缺少PIN码:QQ令牌因为节省成本,没有键盘,因此也就没有PIN码保护,用户每按一次按钮就可以生成一个密码,一旦QQ令牌被盗,用户的密码即被破解,用户需要努力保护自己的QQ令牌在物理层面不被他人盗取,一旦被盗,也应该及时挂失。相比来说有PIN码保护动态密码锁,硬件和PIN码构成了的两个安全因素。如果用户PIN码被泄漏,只要密码锁本身不
10、被盗用即安全。即使密码锁被盗,黑客不知道PIN码也无法使用,破解 PIN码并不容易,大部分动态密码锁对于多次错误输入PIN码后,都会自动锁定,无法使用,需要管理员来解锁。单钥加密的认证安全: 虽然动态密码锁的安全性的确不错,然而,动态密码技术也有一个安全隐患,就是服务器端的安全性。动态密码的本质是单钥加密,密钥只有一个。在服务 器端的认证系统里,可以计算出所有动态密码,因此黑客如果将精力放在破解认证服务器系 统,那么还是有可能对系统造成一定安全威胁,另外这个系统也依赖于服务器的管理员,服务器的管理员可以在服务器端修改动态密码锁的规则,模拟用户登录,也具有一定的安全隐患。而USB Key通过双钥加密的技术实现安全的认证,将私钥保存在USB Key中,服务器端无法模拟,就可以弥补动态密码锁的某些安全性的隐患。USB Key结论总的来说,QQ令牌”的安全性远远高于QQ密保卡”,但因为节省成本而缺少PIN码,其安全性还是低于常规的动态密码产品,因此,“
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 智能制造生产线自动化升级与改造实施方案
- 2026安徽淮北市建投人力资源服务有限公司长期招聘劳务人员考试备考题库及答案详解
- 2026年西宁市城西区事业单位人员招聘笔试模拟试题及答案详解
- 云计算边缘计算资源优化配置方案
- 2026年咸阳市渭城区事业单位人员招聘考试参考试题及答案详解
- 2026年江西省抚州市事业单位人员招聘笔试模拟试题及答案详解
- 拒绝不良诱惑明确是非界限小学主题班会课件
- 小学主题班会课件:中华美德与礼仪教育
- 2026年永州市冷水滩区事业单位人员招聘笔试参考试题及答案详解
- 福建省厦门市逸夫中学2027届物理八年级第一学期期末质量跟踪监视模拟试题含解析
- 2026河南省公务员考试言语理解与表达专项练习题及答案参考
- 养老护理员行业前景
- 加速康复外科专科护士培养体系
- 美的空调KFR-72LWDY-LB(R2)说明书
- (高清版)DB31∕T 1490-2024 人工智能标准化工作导则
- 中考语文 名著基础知识速记清单
- 供应链管理货物保障措施
- 2025年公共文化服务保障法知识竞赛题库及答案
- 高中阅读理解万能答题公式
- 有创机械通气模式及参数2023
- 地表水自动监测运维理论考核试题及答案
评论
0/150
提交评论