倩女幽魂新更新的二维码登录倩女,确实方便了不少。但,别被假象所迷惑,这种新登录的方式更容易被盗号!下面我就来说明一下:
二维码登录的原理是这样,当你登录的时候,服务器获得了一个请求,请求会根据你连接的IP生成一个序号,这个序号和时间做混合,生成出一个二维码来。
这个时候,我们扫码,就可以通过手机发送登录的信息,让服务器得知,这个序号访问的是你的帐号。然后服务器再向你电脑传送“通过验证“的信息,进行登录。
理论上比输入帐号密码安全可靠的多……但实际上并非如此
这个登录方式,有4处以上的漏洞。
我们用一种易懂的方式来说。
假如A是盗号者,他开着一台电脑开着倩女幽魂,然后用一台摄像机对着他的二维码。
然后他编写了一个倩女幽魂的界面,界面那里放着的却是他摄像机射下来的画面。那么,你扫码之后,谁能登录游戏呢?
答案肯定盗号者,而且你还是在没有防备的情况下认为自己没有登录成功。
第二点,最早的将军令实际上是不联网的,从物理上就杜绝了盗号可能。
原来的手机将军令,即使知道你的将军令号也是没用的,因为你手机将军令绑定上去之后,只有游戏帐号,没有你的密码,通过恶意软件也没法登录你的帐号。
但如果现在通过手机登录了呢?
你在你手机输入了帐号和密码,又有将军令……
是不是觉得手机病毒是罕见的事情?不,你电脑开着QQ音乐,或者暴风影音,或者一系列的手机管家软件,你把手机插到电脑上,你看看会是什么效果?
给你安装软件连提示都不会有不是么?
第三点
这点有点专业性了,不过,我想问下各位,你们手机是不是总莫名其妙收到各种垃圾短信?而且很多都是106开头的短信?
甚至很多短信会”供你所需“的给你提供各种”高额贷款“,房地产广告?
那么,请百度“手机短信基站”
手机基站,一步私人的其实并不贵,不是教坏,而是告诉各位,这种高科技的东西可以暂时打乱掉信号,通过GSM,或者3G、CDMA网络来获取手机信息的。本身他的工作原理就是获得你手机的手机号,从而给你通过基站传送短信,他地区性发送都是免费的。稍微改下,想看你手机内容还不是很简单?只要发送一条短信同步请求就好了。你把密码保存在手机上,伪造一个密保取回短信你就哭吧,……
第四点,也是我最深恶痛绝的
这种东西从我97年接触网络就存在,一直到现在还一直有的木马:
灰鸽子。
03年的时候我玩游戏被盗号将近2000块钱,多的不说了,都是泪。那时候还是在家玩,真心怀念我当初的碧波仙子号。
如果想知道具体盗号手法,可以百度“热血传奇及时雨外挂”
我想说的是,如果通过灰鸽子在网吧做假掉线,原本需要截获和解包帐号密码过程,变成了通过网络传送。也就是说。只要网管愿意,他通过网吧监控(就是监控看黄片和计费那个)直接截获二维码就好了。根本都不需要做什么封包操作了,直接控制电脑就可以了。
总结一句,二维码并不安全,只是能省登录的时间罢了。这里面很多设想是网吧盗号,这样能保证登录地点相同不会造成怀疑,同时也可以让你10分钟之内上不去网,从而从容的把你装备扒干净拿走。
其余的,我不知道“中国盗号者”野心有多大,但道高一尺魔高一丈,很多很难说清楚。便利的东西确实值得我们推广,但现在技术并不成熟。而且很多商家为了自己自身利益做的软件都很没素质,让人分不清哪个是插件,哪个是木马。我更希望的是网易,乃至中国在软件制造上有更好更便捷的软件写出来,我能理解“中国盗号者”的用心,可也希望“中国盗号者”少一些。
我想问,有那么难么?
登录IP以及客户端信息与时间和一个随机数求MD5生成二维码,手机扫码后向服务器发送:解码后的MD5信息、帐号、密码及将军令信息。服务器接收到后,即通知客户端验证通过。
这段其实不用看的,我只是讲下原理而已。
还有……我没说不让大家用啊,我只是说新生事物可能存在隐患,可能存在安全问题。需要警惕
