腾讯QQ密保卡是腾讯推出的一项帐号安全保护服务.它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码) 时,系统将提示用户输入密保卡三个位置上的数字,全部输入正确才允许继续操作. 从安全产品上来看,QQ密保卡使用了类似动态密码锁的技术,但成本远远低于动态密码锁,但是这种QQ密保卡的安全性到底如何呢?

由于密保卡每次随机选择三个方格中的数字作为临时动态密码，因而，这一动态密码每次都是不同的，即使盗号木马病毒窃取了您某一次输入的密码，也无法使用这个密码继续通过验证。目前QQ密保卡可以免费下载使用。



　　从安全产品上来看，QQ密保卡使用了类似动态密码锁的技术，但成本远远低于动态密码锁，但是这种QQ密保卡的安全性到底如何呢？

　　我们知道，动态密码（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏。下图是这种产品的外观，其中数字键用于输入用户PIN码，显示屏用于显示一次性密码。每次输入正确的PIN码，都可以得到一个当前可用的一次性动态密码。


　　从理论上将，这种动态令牌产生的一次性密码数量可以是海量的，重复的可能性非常低，因此，即使黑客截获了很多次密码，也无法利用这个密码来仿冒合法用户的身份，因为下一次登录必须使用另外一个新的动态密码。

　　但是，QQ密保卡的安全性能够达到动态令牌的安全程度吗？由于没有硬件动态令牌，QQ密保卡的密码并非一次性密码，而是若干次后的循环使用，这种方式虽然节省了成本，但是安全性却远远低于动态密码锁，黑客破解这种密保卡还是费不了多少功夫的。如果黑客同时安装了截取屏幕和键盘的木马工具，那么截取十几次用户登录输入的密码，就可以截获一半左右的QQ密保卡密码，这时黑客就可以尝试自己通过截取的密码进行登录了，有了一半的数据，基本上尝试几次就可以碰的上。


　　另一个安全衡量是介质的安全，举例来说，如果黑客知道了用户的QQ号码，又通过某种手段得到了用户的QQ密保卡，那么就可以冒充用户进行登录使用。但如果使用USB Key或动态密码锁就不同了，即使加密锁丢失了，黑客也无法使用其登录，因为其不知道用户的PIN码，没有PIN码就无法使用USB Key和动态密码锁。

　　因此，QQ密保卡并没有使得QQ的登录安全性发生本质的变化，要想实现真正的网络安全，具有硬件介质的动态密码锁和USB Key才能使得安全性得到一个质的突破，就成本而言，USB Key还是具有相当大的优势，目前最便宜的USB Key成本已经在二十元以内了。

（责任编辑：hahack）