魔高一尺道高一丈:游戏帐号安全史话
|
网络游戏出现后,“玩家互动”的游戏方式应运而生,翻开了游戏史新的一页。在给玩家带来全新体验的同时,网游也给游戏账号安全蒙上了一层阴影。因为网游里的道具、宠物甚至账号本身都被赋予了财产的属性,于是一些关于游戏道具和账号交易就一直在“鬼市”中活跃着。 密码安全,游戏帐号安全第一课
在早些年,全民《传奇》的年代,盗号的诅咒就如同跗骨之蛆挥之不去。试想当凝结着无数时间、精力和运气的装备被盗号的黑手洗劫一空的时候,会不会从此开始怀疑人生?在那个网络安全体系尚不健全的洪荒时代,一批网络秀才凭借先人一步的黑客技术无情收割着玩家们的心血和灵魂。据那个时代的电脑杂志说,有些黑客软件可以通过偷录键盘动作而达到盗号的目的。也就是说当你打开《传奇》游戏客户端的那一刻,黑客软件便开始工作,你输入账号和密码的按键动作都会被记录并发送给黑客。当时流传着一个反盗号的方法,大概的意思是,由于早期键盘动作记录软件并不能分辨出鼠标的动作,所以你只要合理利用鼠标,打乱密码的输入顺序就可以达到反盗号的目的:比如先输入密码的后几位,然后用鼠标把光标插入到前面再输入前几位;或者输入几个无关的字符,用鼠标选定之后再输入正确字符替代之。这些小窍门也许曾经有过效果,但是黑客技术不断进步,后来的黑客软件已经能够看透这些小把戏,直接读取最后按下登陆按钮时的结果。 与这种黑客软件相关的,还有一个小故事。老玩家通常都遇到过,大概情节是这样的,在一个百无聊赖的晚上,游戏主城中不停有人叫着类似的话:“寂寞妹子求网聊,可以加Q看玉照。”当你打开对方传来的《MM照片。exe》的时候,盗号软件就开始工作了。游戏卡顿、死机,然后你重新登陆完成的时候,账号密码就已经泄露了。除此之外还会有人不停告诉你中奖了,被系统抽取为幸运用户了,只要按照在对方所提供的网站输入账号和密码……你都把账号和密码拱手写在人家的网站上了,这还有什么好说的? 技术上的事情,玩家们搞不清楚。但是游戏商们却必须解决这问题,如何在账号密码可能泄露的情况下,减少玩家损失?于是一场围绕账号安全的战争正式打响。 二级密码,游戏装备的第二把锁 针对登陆密码缺乏安全保障的问题,很多游戏推出了“二级密码”的概念,也叫安全码、超级密码,这个密码并不用于账号登陆,而是在涉及物品交易、升级、丢弃、游戏内消费等敏感操作的时候进行二次验证,以确保游戏财产的安全。类似的装备锁、仓库锁之类的安全措施也可以归入此类。这样一来即使幕后黑手得到了你的登陆密码,也无法窃取游戏中的贵重财产。而且二级密码由于是在游戏内输入,具有更高的隐蔽性,因此对于黑客软件来说,窃取难度更大。这就相当于在大门锁之后,又增加了一个保险箱,即使窃贼进了房间里头,仍然要面对这更高一级的安全防护措施。
这一举措现在仍是一些网络游戏的重要安全措施。不过二级密码操作繁琐,且安全性仍然存疑,对于一些复杂高端的黑客软件,仍然形同虚设。设想当你的账号被黑客登陆之后,即便重要财产在二级密码的保护下没有损失,但是黑客仍然可以造成一些破坏,因为专业的黑客常有,盗亦有道的黑客不多。一个不开心,清空你的好友列表也是一件很悲剧的事情。 还有另外一项措施,我们称之为“账号锁”,能够通过二级密码来锁定账号,被锁定的账号除非通过二级密码来解锁,否则的话就算手握登陆密码也无法登陆游戏。而这种账号锁往往可以在游戏网站的页面上进行操作,不需要在游戏内操作,一些基于游戏客户端的黑客软件也无法捕捉到二级密码。这就相当于在大门之外又装了一层防盗网。
不过但是在专业人士眼中,帐号锁可能仍然只是一个笑话——因为在他们看来,所有只需要固定密码的防护措施都是笑话。防护措施还需要再次升级。 密保矩阵,简单有效的数字八卦 凡是玩家们记在心里的密码,都有被泄露的概率,除非有一种密码,连玩家都不知道应该输入什么。接下来要说的是曾经在网络游戏安全中风靡一时的“密保矩阵”。
这是一款金融级的密保产品,网上银行就曾经采用过这种密保矩阵,通过序列号将游戏账号和一个密保矩阵绑定起来。每次登陆游戏的时候,需要填写系统随机生成的矩阵位置,然后对照矩阵填写相应的数字。也就是说,要想登陆游戏,你首先要拿到这张密码矩阵卡,而这个东西,一般不会存在泄漏的风险,因为这个东西是实物,每次输入的都不一样。
追溯起来这款密保措施应用在游戏上应该从《天堂》开始。从实物史料上来看,最初的矩阵卡一组两张,其实矩阵内容是完全一样的。但官方的建议是:一张藏在家里床板底下,一张放在钱包中随身携带。随身携带的那张如果丢了,还可以用家里的那张来进行解除操作。后来这种方式在网络游戏界广为流传,也由最初的两张变成了一张。如果你一定需要一张藏在家里,那么你可以复印一张,或者拍照留存,甚至是自己手写抄一张。各大主流的游戏厂家纷纷推出了类似的产品,一时间成了那个时代游戏充值卡的标配。在此基础之上,有些还附加了其他密保手段,比如说通过鼠标操作虚拟键盘来输入数字,采用随机排列并且还会高速旋转的虚拟键盘。这些都是对最初键盘记录窃听软件的反制。
电话密保,昙花一现的歧路 密保产品在不断更新换代的过程中,其中也闹过一些乌龙,这里举一个反例。某些游戏推出了一款叫做“电话密保”的东西。其工作流程大概是这样的,玩家可以通过账号密码绑定密保电话,一部电话可以绑定5个游戏账号,一个游戏账号可以绑定5个电话。在登陆游戏进行敏感操作的时候需要通过安全电话来拨打特定的号码。这个流程和前文说过的二级密码工作原理有些类似。 (编辑:顺游网_765游戏网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
