lilujun.com

小李blog

当前位置: 主页 > 技術隨筆 >

QQ密碼安全機制與短板效應

发表时间: 2009-10-29
短板效應指出:「一個水桶無論有多高,它盛水的高度取決於其中最低的那塊木板。」
QQ拓展了許多領域,為方便使用,QQ增值業務的密碼都同為IM時使用的QQ登錄密碼。
騰訊公司稱其QQ聊天軟體採用了加密技術,筆者使用嗅探器證實了此點。但是對於其他增值業務,例如QQ相冊、QQ視頻等等涉及到網頁輸入密碼時,由於沒有部署SSL,使得密碼是以明文post,只要同個局域網特別是在公共Wi-Fi使用時極易受到QQ密碼洩露的威脅。
QQ密碼洩露,對於QQ相冊等私有區域而言是洩露個人隱私,而密碼一旦被他人用於「QQ拍拍」這個電子購物時,則威脅到電子商務的安全。雖然SSL能保證通訊的加密,但他人可以在別的服務竊取到密碼後完全可以登錄SSL保護的服務進而得到通訊的結果,例如買了什麼物品。而在QQ郵箱部署SSL,雖然能保證流覽郵件不受竊聽,但是可以用盜取的密碼登錄郵箱查看信件內容。
因此,只在QQ郵箱、QQ拍拍部署SSL是不明智的,由於「短板效應」的存在,盜取密碼的人士完全可以嗅探沒有SSL的QQ服務而得到密碼,QQ花費人力物力部署的SSL就形同虛設。
栏目列表