站长之家- 传媒 2016-07-08T17:37:09 +08:00

为什么扫码登录被认为比密码登录更安全?

近日,细心的朋友可能发现,常用的各类网站和软件都陆续上线了"扫码登录"功能,并提示用户:在电脑上只需扫描二维码就可以实现安全登录账号。相较于传统通过账号密码登录的方式,扫码登录得到了越来越多厂商和用户认可。

传统登录隐患多三大风险套牢账号密码

密码登录的过程,其实就是要求用户通过密码证明自己是帐户的主人,拥有帐户使用权。但随着科技的发展,密码登录的方式越来越引人担忧。从目前来看,密码登录的方式存在强度、撞库和钓鱼三大风险。

首先来说强度风险。由于计算机运算能力提升,简单的密码在几分钟内就能被攻击者破解,而复杂密码又给用户带来了记忆难题(每月总有那么几个网站忘掉了帐号密码)。密码破解的办法有两种,首先是暴力破解,即使用所有可能的密码字符组合依次进行尝试,这样一来,短密码由于组合方式较少,极易被攻击者试出来。其次是使用字典破解,也就是使用常见英文单词或简单字符组合进行尝试。前不久,微软已经开始禁止其云服务用户使用这样的弱密码,包括"12345"之类的密码都无法通过,需要改用更复杂的密码。另外,还有其它的一些密码保护方案,例如密码哈希保存等,也正在受到新型的诸如"彩虹表"等攻击手段的威胁。在攻击手段不断丰富的今天,短密码所面临的风险无疑是最大的。

再来说撞库风险。随着日常生活中用到的软件、网站、应用和游戏越来越多,很多用户为了记忆方便,为不同帐号使用了同样的登录密码,这样就给攻击者利用同一密码登录多个帐号提供了机会。不久前,FacebookCEO扎克伯格的社交媒体帐号被攻击,就属此类。由于LinkedIn的登录数据库被攻击,攻击者获取了扎克伯克的密码之后,又用它去尝试登录Pinterest帐号,结果一举成功。这一方式在信息安全领域被称作"撞库"。由此可见,设置同一个密码的帐号数目越多,此密码受到攻击的风险也就越大。

钓鱼风险,也就是伪造登录界面。腾讯哈勃分析系统此前曾经发现过多起利用伪造登录框吸引用户输入帐号密码,从而窃取用户帐户的事件。攻击者通过制作一个以假乱真的登录窗口,以对话框方式弹出,或显示在钓鱼网站的网页上,并且通过各种细节处理让受害者信以为真。而当用户在这个伪装的登录窗口中输入登录信息之后,密码等信息就会被发送到攻击者的服务器上。

(哈勃分析系统捕捉到Windows木马发送的内容)

(哈勃分析系统提示)

减少密码输入频次扫码登录更有效

面对这些频繁出现的密码安全问题,安全专家和厂商开始寻求解决办法。一个重要的努力方向就是要让用户尽量减少输入密码的次数。比如在电脑上已经登录QQ的情况下,可以"一键登录"QQ相关业务网站,或者是在智能手机上玩游戏的时候,可以使用已经登录的QQ或微信帐号授权登录。

"扫码登录"能够更为有效的减少输入密码次数。在帐户已经跟智能手机绑定的前提下,通过手机扫描电脑屏幕上出现的二维码,即可完成登录认证。跟密码登录不同,扫码登录无法被随意复制,不仅用起来更放心,也避免了记忆密码可能带来的麻烦。

目前,智能手机已经基本普及,使用上也不存在障碍,用户通过手机扫码,从而验证自己的身份,成功登录。

专家支招安全软件构筑二次防御

对于仍然愿意使用密码方式登录的用户,哈勃分析系统建议,不要使用简单的密码,也不要对大量帐号设置同样的密码。同时,可以使用腾讯电脑管家等安全类软件保护电脑,对于来历不明的软件,通过哈勃分析系统(https://habo.qq.com/)进行分析。 

而想要尝试扫码登录的用户,则要提前做好手机丢失的预防工作,例如给手机设置锁屏密码或者给扫码应用添加启动密码,防止其他人使用手机随意登录帐号。除此之外,安卓用户也要注意手机上的恶意木马,建议使用腾讯手机管家进行保护,也可以用哈勃分析系统对手机应用进行检测分析。

推荐关键词

24小时热搜

查看更多内容

大家正在看

腾讯字节狗头商标被驳回

腾讯QQ上线关怀模式

云闪付接入腾讯、微信