四重防护保障安全 详解腾讯QQ密保手段

    作为全球最大的中文即时通讯软件，腾讯QQ拥有着约1.9亿稳定在线的用户数量，最高在线用户数曾达到2.17亿。同时由腾讯QQ衍生出的大批增值业务（各类钻石、会员及VIP）也有很多用户持续使用。然而伴随腾讯QQ的业务普及，针对QQ账号的盗号事件也越来越多，尤其是一些靓号、增值业务号更是盗号者觊觎的重点对象。

详解腾讯QQ密保手段

    本月初笔者曾经写过一篇名为《方便又放心 QQ设备锁如何保障账号安全》的文章，对腾讯QQ在2014年初推出的全新密保手段——QQ设备锁进行了详细介绍。文章的最后一页笔者对现有QQ设备锁存在的漏洞进行了剖析，文章发布后约一周时间腾讯方面完善了相关设置，重新添加了QQ登陆验证密保的手段，对此笔者表示欢迎和感谢。

目前仍在服役的QQ密保手段

    在今天的文章中，笔者主要来介绍一下现阶段腾讯QQ账号支持的几种密保手段，并分析它们各自的优劣势及安全性，以方便广大用户提高自身QQ账号的安全性。

密保手机/QQ令牌随身带

    目前，腾讯QQ支持的密保手段共有密保手机、QQ令牌、密保问题和QQ安全中心手机版四种，之前QQ密保卡也曾长时间作为密保手段之一，但在今年初被取消。下面依次介绍一下这几种密保手段是如何保障QQ账号安全的。

密保手机设置界面

    密保手机作为最早的QQ密保手段之一已经服役多年，目前其可以实现的功能已经非常之多，包括了修改密码、锁定账号（15天内锁定所有QQ业务）、开通/关闭Q币消费保护、关闭QQ登陆保护、密保更改通知等功能。

密保手机可以锁定QQ账号

可开启/关闭Q币Q点保护和登录保护

安全动态通知

    密保手机无须下载app或是购买硬件设备，在手机不丢失的状况下安全性很高。不足之处在于每发送一条短信，相应的运营商会收取0.1元的费用，笔者多年前由于只绑定了密保手机，曾经每次登陆QQ都需要发送短信验证，费钱不说还十分繁琐。

    QQ令牌是腾讯QQ在2010年推出的一款实体硬件密保，它与其它厂商推出的将军令等等原理类似，是基于时间同步原则以特定算法使令牌与服务器端得出相同结果，从而验证身份的方式。在QQ安全中心中，经过简单的绑定后QQ令牌便可以实现密保功能，此外考虑到时钟精度问题QQ令牌同时提供了校准时间服务以减小时间漂移。

笔者自用的QQ令牌

    QQ令牌的动态密码每60秒自动更新一次，每一个动态密码一旦被使用则立即作废，未使用的过时密码在产生后约2分钟的时间内仍可以使用。

QQ令牌设置界面

    相比其它密保手段，QQ令牌的优势在于一目了然，无论是QQ登陆验证还是游戏登陆，看一眼显示屏上的数字填进去就可以，十分方便。安全性方面，除非盗号者使用木马伪装的虚假登陆界面骗取动态密码，否则通常意义上说几乎不存在动态密码失窃可能。不足之处在于QQ令牌需要购买，目前的售价为26元（2012年腾讯与RSA还曾经推出售价高达60多元的QQ令牌）。此外QQ令牌不可拆卸不可更换电池，平均使用寿命约为两年，一旦电量耗尽则只能重新购买，成本较高。

app版安全中心/密保问题

    QQ安全中心手机版作为目前腾讯主推的密保手段有着较高的人气。它集成了曾经的QQ密保令牌（手机版），同时也加入了电脑版QQ安全中心几乎所有的功能，诸如游戏登录保护、账号锁、改密和设备锁等等。iOS和Android手机用户只需下载相应的客户端并绑定QQ号便可以使用这些功能。

QQ安全中心手机版设置界面

 
QQ安全中心手机版功能界面

    密保问题是腾讯QQ最早的密保手段，用户选定腾讯备选的三个问题并牢记答案，即可以实现找回密码等操作。但由于密保问题为静态密保，被盗取的可能性极大，因此如果不在常用登陆地登录QQ，是无法用密保问题修改其它几种密保工具的。

密保问题设置界面

密保问题可自选问题设置答案

    同时，由于密保问题容易被盗取，目前的QQ登录保护并不支持以密保问题作为验证方式。出于安全考虑，如果用户已经绑定了其它几种密保手段，建议删除密保问题。

    至于已经淘汰的密保卡，笔者曾经也是其忠实用户，至今笔者还保留了一张30元Q币卡（背后印有密保卡）。密保卡的验证方式比较简单，每次系统给出卡面上的任意3个坐标，用户按照卡面（或电子密保卡面）上的横纵坐标填写相应数字即可完成验证。

 
笔者几年前购买的Q币卡（密保卡功能已停用）

QQ安全中心的密保卡停止服务公告

    不过，由于密保卡的坐标数字有限，加上键盘记录木马可记录坐标信息，一旦坐标信息有超过一半泄露密保卡的安全度就将大幅下降。故此在今年3月腾讯方面完全停止了QQ密保卡的使用。

消费/游戏/登录全方位保护

    有了这么多密保手段，我们再来看看它们是如何保障腾讯QQ用户的账号安全的吧。

    目前，腾讯QQ密保手段可以应用于Q币Q点消费保护、游戏保护、QQ登陆保护和QQ秀物品保护等方面，我们下面逐个来看。

QQ密保手段用途一览

    Q币Q点是腾讯QQ推出的虚拟货币，也是不少用户争相购买的物件，其安全尤为重要。如果用户预先设定了在所有场合消费Q币Q点均需要验证密保的话，那么只要涉及Q币的消费前就必定会验证用户现有的密保手段，验证通过才能支付。

Q币Q点保护

QQ游戏商城消费前需验证密保手段

QQ游戏保护功能

笔者登录QQ音速需验证密保

    腾讯旗下的游戏产品众多，游戏内装备、点券的安全自然也备受关注。QQ密保手段支持十余款游戏的登录保护、部分游戏的游戏锁（强制下线）和游戏装备保护。相比裸奔账号而言，开通游戏保护的账号遭到盗号的几率有显著的下降。

QQ登录保护设置界面

开启QQ登录保护后登录QQ需验证密保手段

QQ秀物品保护设置（红钻用户专有）

QQ秀物品保护演示——打开绝版QQ秀物品

尝试删除绝版QQ秀

需验证密保手段

    QQ登录保护在笔者之前的文章里有详细的介绍，而在半个月前腾讯方面对其进行了优化。总的来说开通QQ登录保护后，用户登陆QQ时需要验证密保手段，通过后才可以登录QQ。QQ秀物品保护开通后，在删除、出售、赠送绝版QQ秀的时候同样需要验证QQ密保手段，但需要注意的是这一功能只有开通了红钻的用户才能使用。

建议：QQ令牌作用应更突出

    最后一页自然还是提建议的时间，虽然腾讯QQ密保手段种类繁多，账号保护的效果也还算不错，但笔者在多年的体验过程中发现两点值得改进的地方，希望腾讯方面能够考虑。

    首先，QQ令牌的安全性仍然不足，这体现在QQ令牌没有一个独立的PIN码。与QQ安全中心手机版自带手势启动密码不同，无论是带开关键的QQ令牌水晶版还是不带按键的QQ令牌水滴版，动态密码完全处在大白于天下的状态。一旦别人窃取了用户的QQ令牌，在得知密码的状况下QQ照样会被盗取，即使发生这种情况的概率极低但也不能完全排除。因此，腾讯方面可以考虑在QQ令牌上增加PIN码认证，输入正确的PIN码才可以显示QQ令牌的动态密码，虽然成本有所提高但安全指数显然要高得多。

QQ安全中心手机版有独立的手势启动密码防止遭偷窥

相比腾讯之前使用过的RSA SID-700，RSA SID-800内置了数字证书更加安全（图片来自RSA官网）

    其次，除了密保问题不能用于QQ登录验证外，现有的几种密保手段完全平级，这对花几十元购买QQ令牌的用户显然不太公平。笔者认为，QQ令牌的密保优先级应该处在其它几种密保手段之上，对于已经绑定QQ令牌的用户，在修改密保等敏感操作需要验证密保手段时，QQ令牌应作为最后一个验证步骤，这样QQ令牌的价值才能真正得到体现。

    有人曾开玩笑称“假设若干年后人不在了QQ号如何处置”，虽然是玩笑话但也体现了腾讯QQ账号在人们生活中的重要程度。对于任何一个账号而言，完善的密码保护措施都是必要的，这里笔者建议如果您的QQ账号有重要联系人、数目较多的Q币或增值业务的话，还是最好应用QQ密保手段，可以最大程度保障您的QQ账号安全。

nubia Z5S Mini和nubia Z7 Mini有什么区别