WoSign信息安全警示报告：新闻事件“盗数百万个QQ号Q币”的启示

在 QQ 会员： http://club.qq.com/ 、 QQ 充值中心： http://pay.qq.com/zft/paycenter_account.shtml、QQ 邮箱： http://mail.qq.com/ 和拍拍网用户登录： http://member.paipai.com/ , 都还没有部署 SSL 证书，这意味着什么？意味着 QQ 用户在会员登录、 Q 币充值、登录 QQ 邮箱和登录拍拍网时所输入的 QQ 号码和密码都没有做任何防护，从用户浏览器提交 QQ 号码和密码到 QQ 服务器上去验证是明文传输的，在整个网络传输路径上的任何节点上的任何联网设备都能非常容易地窃获明文传输的 QQ 号码和密码，这也就难怪犯罪分子如此容易“一天非法盗取 QQ 号资料最多时可达 30 万个”。而犯罪分子为什么要非法盗取 QQ 号资料，因为目前窃取到 QQ 号资料就能得到 Q 币，就等于偷到了钱。所以，如此重要的 QQ 资料如果不做任何保护，就等于把黄金放在大马路上，不可能没有贪财之人起歹心而偷走！

SSL 证书真的能保护 QQ 号码被盗吗？当然，防止 QQ 号码被盗需要多种保护措施(包括服务器端和用户端) ，而服务器端的 SSL 证书部署，就能保证用户在输入 QQ 号码和密码并提交到 QQ 服务器的整个传输过程是加密传输的，中间任何人也无法非法获得已经高强度加密的 QQ 号码和密码信息，将杜绝了 QQ 号码和密码在网络传输过程中的被非法窃获的可能性。

还是让我们来看看即时通信的鼻祖 ICQ 和其他全球领先的即时通信服务提供商是如何处理的用户登录环节的安全的，相信对大家理解以上观点有所帮助，也希望有关服务提供商能尽快部署SSL证书来提升安全防护能力，从而降低虚拟财产被盗的可能。

如下图 1 所示为即时通信鼻祖 ICQ 的登录页面，这里的 https 就是表明部署了 SSL 证书，从而保证了用户输入的密码不会在网络传输过程中被非法窃取：

如下图 2 所示为 Yahoo Messenger 的登录页面，请注意在“ Sign In ”下面有“ Why this is secure (为何是安全的) ”的链接，点击此链接后可以看到 Yahoo 是如何解释为何是安全的：“ Yahoo 现在通过 SSL 加密使得您可以安全地提交您的 ID 和口令，这意味着您的个人帐户信息在每次登录时是安全的。过去， Yahoo 使用 MD5 来加密口令，但保护您的隐私和在线信息安全对 Yahoo 来讲是特别重要的事，所以，我们在不断地评估各种安全技术来保护您的个人信息，现在， Yahoo 部署了 SSL 证书来保护您的 ID 和口令的安全， Yahoo 非常重视您的个人信息安全！”这段话值得所有即时通信服务提供商和所有电子商务服务提供商学习！同时，值得一提的是： Yahoo 为了防止网络钓鱼者使用假冒 Yahoo 网站来获得用户的登录密码而允许用户自己定制一个登录标志来识别是否正在登录真正的 Yahoo 网站。

如下图 3 所示，我们再看看 MSN Messenger也一样部署了 SSL 证书来确保用户的即时通信帐号的安全：

如下图 4 所示，我们再看看 AOL Messenger(美国在线)也一样部署了 SSL 证书来确保用户的即时通信帐号的安全：

值得注意的是： AIM Messenger 还有一个非常好的安全特性就是支持使用个人证书来证明即时通信用户的真实身份以及使用此个人证书来实现即时消息的加密传输，从而确保即时通信的机密信息不会被非法窃取。如下图 5 所示，用户有两种选择，一是直接从 AIM 申请一个个人证书 (Add Certificate) ，二是导入现有的全球通用的支持浏览器的个人证书 (Advanced Settings - Import) 。

如下图 6 所示，如果AIM双方都有个人证书就可以实现即时消息的签名和加密了，在对话框的下面会显示“安全锁”，并显示此消息是使用某人的证书签名和加密的。而对于没有使用个人证书的即时通信系统，通信双方的信息是明文传输的，服务提供商只能提醒用户“请勿发送机密信息”了。

如下图7所示，点击“安全锁”，就会此消息已经签名，证明此消息没有在传输过程中被篡改；接着显示此消息已经加密，再下面就是显示签名和加密的证书详细信息，包括证书公用名称(证书所有人的姓名)、Email、证书所有人的单位名称以及证书有效期等等。