魔高一尺 道高一丈:游戏帐号安全史话

网络游戏出现后,“玩家互动”的游戏方式应运而生,翻开了游戏史新的一页。在给玩家带来全新体验的同时,网游也给游戏账号安全蒙上了一层阴影。因为网游里的道具、宠物甚至账号本身都被赋予了财产的属性,于是一些关于游戏道具和账号交易就一直在“鬼市”中活跃着。

网络游戏出现后,“玩家互动”的游戏方式应运而生,翻开了游戏史新的一页。在给玩家带来全新体验的同时,网游也给游戏账号安全蒙上了一层阴影。因为网游里的道具、宠物甚至账号本身都被赋予了财产的属性,于是一些关于游戏道具和账号交易就一直在“鬼市”中活跃着。

密码安全,游戏帐号安全第一课

在早些年,全民《传奇》的年代,盗号的诅咒就如同跗骨之蛆挥之不去。试想当凝结着无数时间、精力和运气的装备被盗号的黑手洗劫一空的时候,会不会从此开始怀疑人生?在那个网络安全体系尚不健全的洪荒时代,一批网络秀才凭借先人一步的黑客技术无情收割着玩家们的心血和灵魂。据那个时代的电脑杂志说,有些黑客软件可以通过偷录键盘动作而达到盗号的目的。也就是说当你打开《传奇》游戏客户端的那一刻,黑客软件便开始工作,你输入账号和密码的按键动作都会被记录并发送给黑客。当时流传着一个反盗号的方法,大概的意思是,由于早期键盘动作记录软件并不能分辨出鼠标的动作,所以你只要合理利用鼠标,打乱密码的输入顺序就可以达到反盗号的目的:比如先输入密码的后几位,然后用鼠标把光标插入到前面再输入前几位;或者输入几个无关的字符,用鼠标选定之后再输入正确字符替代之。这些小窍门也许曾经有过效果,但是黑客技术不断进步,后来的黑客软件已经能够看透这些小把戏,直接读取最后按下登陆按钮时的结果。

与这种黑客软件相关的,还有一个小故事。老玩家通常都遇到过,大概情节是这样的,在一个百无聊赖的晚上,游戏主城中不停有人叫着类似的话:“寂寞妹子求网聊,可以加Q看玉照。”当你打开对方传来的《MM照片.exe》的时候,盗号软件就开始工作了。游戏卡顿、死机,然后你重新登陆完成的时候,账号密码就已经泄露了。除此之外还会有人不停告诉你中奖了,被系统抽取为幸运用户了,只要按照在对方所提供的网站输入账号和密码……你都把账号和密码拱手写在人家的网站上了,这还有什么好说的?

技术上的事情,玩家们搞不清楚。但是游戏商们却必须解决这问题,如何在账号密码可能泄露的情况下,减少玩家损失?于是一场围绕账号安全的战争正式打响。

二级密码,游戏装备的第二把锁

针对登陆密码缺乏安全保障的问题,很多游戏推出了“二级密码”的概念,也叫安全码、超级密码,这个密码并不用于账号登陆,而是在涉及物品交易、升级、丢弃、游戏内消费等敏感操作的时候进行二次验证,以确保游戏财产的安全。类似的装备锁、仓库锁之类的安全措施也可以归入此类。这样一来即使幕后黑手得到了你的登陆密码,也无法窃取游戏中的贵重财产。而且二级密码由于是在游戏内输入,具有更高的隐蔽性,因此对于黑客软件来说,窃取难度更大。这就相当于在大门锁之后,又增加了一个保险箱,即使窃贼进了房间里头,仍然要面对这更高一级的安全防护措施。

这一举措现在仍是一些网络游戏的重要安全措施。不过二级密码操作繁琐,且安全性仍然存疑,对于一些复杂高端的黑客软件,仍然形同虚设。设想当你的账号被黑客登陆之后,即便重要财产在二级密码的保护下没有损失,但是黑客仍然可以造成一些破坏,因为专业的黑客常有,盗亦有道的黑客不多。一个不开心,清空你的好友列表也是一件很悲剧的事情。

还有另外一项措施,我们称之为“账号锁”,能够通过二级密码来锁定账号,被锁定的账号除非通过二级密码来解锁,否则的话就算手握登陆密码也无法登陆游戏。而这种账号锁往往可以在游戏网站的页面上进行操作,不需要在游戏内操作,一些基于游戏客户端的黑客软件也无法捕捉到二级密码。这就相当于在大门之外又装了一层防盗网。

不过但是在专业人士眼中,帐号锁可能仍然只是一个笑话——因为在他们看来,所有只需要固定密码的防护措施都是笑话。防护措施还需要再次升级。

密保矩阵,简单有效的数字八卦

凡是玩家们记在心里的密码,都有被泄露的概率,除非有一种密码,连玩家都不知道应该输入什么。接下来要说的是曾经在网络游戏安全中风靡一时的“密保矩阵”。

这是一款金融级的密保产品,网上银行就曾经采用过这种密保矩阵,通过序列号将游戏账号和一个密保矩阵绑定起来。每次登陆游戏的时候,需要填写系统随机生成的矩阵位置,然后对照矩阵填写相应的数字。也就是说,要想登陆游戏,你首先要拿到这张密码矩阵卡,而这个东西,一般不会存在泄漏的风险,因为这个东西是实物,每次输入的都不一样。

追溯起来这款密保措施应用在游戏上应该从《天堂》开始。从实物史料上来看,最初的矩阵卡一组两张,其实矩阵内容是完全一样的。但官方的建议是:一张藏在家里床板底下,一张放在钱包中随身携带。随身携带的那张如果丢了,还可以用家里的那张来进行解除操作。后来这种方式在网络游戏界广为流传,也由最初的两张变成了一张。如果你一定需要一张藏在家里,那么你可以复印一张,或者拍照留存,甚至是自己手写抄一张。各大主流的游戏厂家纷纷推出了类似的产品,一时间成了那个时代游戏充值卡的标配。在此基础之上,有些还附加了其他密保手段,比如说通过鼠标操作虚拟键盘来输入数字,采用随机排列并且还会高速旋转的虚拟键盘。这些都是对最初键盘记录窃听软件的反制。

电话密保,昙花一现的歧路

密保产品在不断更新换代的过程中,其中也闹过一些乌龙,这里举一个反例。某些游戏推出了一款叫做“电话密保”的东西。其工作流程大概是这样的,玩家可以通过账号密码绑定密保电话,一部电话可以绑定5个游戏账号,一个游戏账号可以绑定5个电话。在登陆游戏进行敏感操作的时候需要通过安全电话来拨打特定的号码。这个流程和前文说过的二级密码工作原理有些类似。

如此一来似乎安全性提高了许多,但是经过一段时间的实践检测之后,用户评价并不理想。其中的几种反馈是这样的,基于电信通讯网络的服务能力是有限的,据说在游戏高峰期的时候,密保电话是打不通的。这样不仅幕后黑手上不了游戏,就连用户本尊也被挡在外面,好像为了看门守户养了一条恶犬,窃贼是防住了,但是连主人也进不去家门。

此外,一个账号可以绑定5部电话,也可以通过其中一部电话来解绑其他的电话。就好像一把锁有5把钥匙,你有其中一把,但是盗号的专业人士却可以通过账号和密码新增其他的密保电话,就好像是另外配了一把钥匙。因此,电话密保也逐渐被人们遗忘。

游戏U盾,游戏账号的实物钥匙

从矩阵密码卡开始,游戏厂商就开始跟风银行业。接下来要登场的密保工具可以认为是一把真正的实物钥匙——游戏U盾。U盾这个东西虽然在游戏界并没有得到广泛流传,但是作为最接近实物钥匙的密保工具,还是很有意思的。

U盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。它的作用是在办理网上银行业务时保护资金安全,规避黑客、假网站、木马病毒等各种风险。是办理网上银行业务的高级别安全工具。

游戏密保U盾也是类似的作用,连接计算机USB接口,以硬件设备实现账号保护的作用。和银行U盾类似,游戏U盾也需要安装专门的配套控件,然后使用U盾来登陆游戏。U盾构造复杂难以复制,而且借助实体硬件登陆游戏,安全性大大提高。然而,大概是U盾构造复杂,成本相对较高,操作也非常繁琐,最终并没有被广泛采用。

游戏令牌,金融级别的随机数字

游戏令牌和密保矩阵有着类似的工作原理,但是安全性更高,能够提供无法破译的随机数字。且无法拍照、复印或者抄写,从而避免了在这些途径泄露的可能性。这也是现在各家银行的主流密保产品。

这个小小的电子产品,无时不在变换随机数字。虽然通常只是一串纯数字而已,但是其实是使用了一种叫做AES-128 变形而来的算法,目前这种技术不管从加密算法上还是数学理论都基本无解。继续把“玩家自己也不知道”这一安全要义发扬光大。这一密保方式也为游戏厂商普遍接受,而且还可以把这个物件当成一件游戏周边,比如某仙侠题材游戏就把这个令牌做成了一只葫芦。

手机密保,智能平台的科学应用

当手机逐渐普及,越来越成为现代人的生活必须品之后,手机也就成了密保产品的重要载体。手机的私密性和唯一性也确实适合作为密保产品,事实上很多游戏和其他网站都把手机号码作为密保安全的依据。

考据起来,短信密保的历史其实非常久远,十几年前就曾经作为密保安全手段,但往往不用于日常登陆,只有在密码找回、密码修改的时候才会动用。但是随着智能手机的普及,基于网络通讯的密保软件让智能手机有了充分发挥的空间,于是又诞生了新的密保方式。

手机密保令牌不仅具备实物钥匙扣令牌的全部功能,而且还避免了实物令牌损坏、遗失、断电等不必要的麻烦,更容易普及。在前不久,中国战网也宣布停止使用矩阵密保方式。就目前来说,手机APP基本上代表了密保产品的最高水平。

基于手机平台的密保措施还有很多,扫码登陆也是一个新方式。具体流程是通过手机APP登陆关联账号,然后使用手机扫码授权就可以实现PC端的账号登陆,而不需要再PC段输入账号密码。因为手机的环境安全指数通常认为是高于PC环境的。与之类似的还有手势密码,人脸识别、指纹识别等等,其实也是二级密码的一种形式。无论是哪一种,都是通过手机端与PC端的绑定和对应关系,把密码登陆转移到安全强度更高的手机端,是智能终端平台在密码安全保护上的新应用。

结语

游戏账号安全从洪荒时代的谈之色变到现在的心中有数。虽然账号安全问题仍时有发生,但是这些往往都是由于账号共享、账号买卖、游戏代练、或者野蛮女友等不当操作造成的,真正由于黑客袭击而被盗号的事情已经鲜有发生了。

即便如此,我们依然要警钟长鸣,因为在账号安全的攻防战中,即使金融级别的密保措施仍然有可能被黑客破解,之后技术人员再研究更高端的密保措施,之后再破解,再升级……这个循环反复的战争,可能永远都不会停歇。

from:腾讯游戏频道

原创文章,如若转载,请注明出处:http://www.gamelook.com.cn/2017/09/303535

发表评论

电子邮件地址不会被公开。

关注微信