MSN和Gtalk的本地密码存在严重漏洞
2008-09-22 09:38
573 查看
我原先以为微软和Google在用户帐号安全上应该是专家,看来我又看走眼了,因为凑巧看到一款黑客工具MessenPass,可以直接显示本地MSN和Gtalk等聊天工具的密码,由此可以直接破解用户Hotmail和Gmail的密码,这显示MSN和Gtalk的本地存放密码的方式存在严重漏洞。
MSN和Gtalk最为严重的错误,就是将用户的密码保存在本地,即使使用了对称或者不对称加密算法对密码进行了加密,但最终登录的时候,还是会解密密码并发送给服务器端,这个错误导致了黑客只需要将这个木马上传到用户电脑上,运行后就可以窃取用户的Hotmail和Gmail的密码。
真正安全的密码存放方式其实很简单,就是不要存放原始密码到本地电脑,而是存放密码+用户+安全码的散列值(Hash值)到用户本地,就可以解决这个安全问题。不直接使用密码的散列值,而是使用这三个参数之和的散列值,是为了防止相同的密码出现相同散列值被人猜测,加入安全码可以增加破解难度,黑客需要先破解安全码,使用散列算法(如MD5或SHA1等)是因为散列算法是单向不可逆的,黑客即使得到散列数值,也不可能反算出用户的密码。
这样,现在的登录方式,就可以修改为,MSN和Gtalk保存用户名和三个参数之和的散列值,登录时候传输这些参数到服务器,服务器端判断登录类型,如果是散列值登录,则将用户传送过来的用户名和散列值,与服务器端保存的用户名密码等参数算出来的散列值进行比较,如果相同则表示可以登录,不同则表示密码错误,不能登录。
我以前一直以为微软和Google这些网络巨头在应用程序的安全性上应该是不错的,没想到竟然会在用户密码上存在这么严重的缺陷和漏洞,看来国外的产品也不可靠啊。这其中最主要的原因,我看是国外的整体网络发展较为健康,没有那种黑客生存的产业链,而在中国国内,黑客木马程序的开发和销售、盗取网络游戏帐号和QQ帐号、销售游戏帐号和QQ币等早已经发展成为一种分工明确的“地下产业”,早期已经令中国各大网络公司头痛不已,纷纷推出相应的安全解决方案,所以国内相关的网络软件,登录密码早就不存在这种缺陷漏洞了。
对于Google来说,解决这个缺陷漏洞尤为紧迫,因为Gtalk帐号就是Google帐号,可以直接登录用户的AdWords和AdSense,操纵用户的财务信息,甚至将用户帐号下的金额转账给他人,这对于使用Google这些业务的用户来说实在是一个严重的威胁,如果不尽快解决,后果堪忧。对于当前使用MSN和Gtalk的用户,建议不要设置自动登录,而是设置为每次手动输入密码登录。
MSN和Gtalk最为严重的错误,就是将用户的密码保存在本地,即使使用了对称或者不对称加密算法对密码进行了加密,但最终登录的时候,还是会解密密码并发送给服务器端,这个错误导致了黑客只需要将这个木马上传到用户电脑上,运行后就可以窃取用户的Hotmail和Gmail的密码。
真正安全的密码存放方式其实很简单,就是不要存放原始密码到本地电脑,而是存放密码+用户+安全码的散列值(Hash值)到用户本地,就可以解决这个安全问题。不直接使用密码的散列值,而是使用这三个参数之和的散列值,是为了防止相同的密码出现相同散列值被人猜测,加入安全码可以增加破解难度,黑客需要先破解安全码,使用散列算法(如MD5或SHA1等)是因为散列算法是单向不可逆的,黑客即使得到散列数值,也不可能反算出用户的密码。
这样,现在的登录方式,就可以修改为,MSN和Gtalk保存用户名和三个参数之和的散列值,登录时候传输这些参数到服务器,服务器端判断登录类型,如果是散列值登录,则将用户传送过来的用户名和散列值,与服务器端保存的用户名密码等参数算出来的散列值进行比较,如果相同则表示可以登录,不同则表示密码错误,不能登录。
我以前一直以为微软和Google这些网络巨头在应用程序的安全性上应该是不错的,没想到竟然会在用户密码上存在这么严重的缺陷和漏洞,看来国外的产品也不可靠啊。这其中最主要的原因,我看是国外的整体网络发展较为健康,没有那种黑客生存的产业链,而在中国国内,黑客木马程序的开发和销售、盗取网络游戏帐号和QQ帐号、销售游戏帐号和QQ币等早已经发展成为一种分工明确的“地下产业”,早期已经令中国各大网络公司头痛不已,纷纷推出相应的安全解决方案,所以国内相关的网络软件,登录密码早就不存在这种缺陷漏洞了。
对于Google来说,解决这个缺陷漏洞尤为紧迫,因为Gtalk帐号就是Google帐号,可以直接登录用户的AdWords和AdSense,操纵用户的财务信息,甚至将用户帐号下的金额转账给他人,这对于使用Google这些业务的用户来说实在是一个严重的威胁,如果不尽快解决,后果堪忧。对于当前使用MSN和Gtalk的用户,建议不要设置自动登录,而是设置为每次手动输入密码登录。
相关文章推荐
- Gmail存在严重安全漏洞 无需密码也可进入邮箱
- 安全 - MySQL 出现严重的密码安全漏洞,许多系统存在风险
- 安全 - MySQL 出现严重的密码安全漏洞,许多系统存在风险
- 发现21cn邮箱存在严重的安全漏洞及风险,对于申请密保的邮箱可以随便更改任意用户的密码
- 120941138.三星处理器被发现存在严重安全漏洞
- 惊爆:Google Gmail存在严重漏洞
- macOS 爆严重安全漏洞,不用密码就能随意登录(附解决方案)
- FreeTextBox中存在一个严重的安全漏洞
- 6月第4周安全回顾 Firefox3存在严重漏洞 警惕Storm蠕虫 推荐
- ZFS 存在严重安全漏洞 ,可导致系统引导失败
- 查看本地MSN帐号和密码
- 黑帽大会:Windows密码存储机制存在漏洞
- 详讯:微软承认Outlook中存在严重安全漏洞
- udev:Linux里严重的本地安全漏洞
- 详讯:微软承认Outlook中存在严重安全漏洞
- 新浪通行证在线申诉找回密码业务逻辑错误导致严重安全漏洞
- 多款个人防火墙产品存在本地SSDT Hook漏洞
- 雅虎存在严重安全漏洞,可以轻松获得账户的控制权
- DEDECMS爆严重安全漏洞免账号密码直接进入后台
- 忘记密码存在的漏洞