Board logo

标题: 一个我个人的反盗号思路 [打印本页]
作者: 微点放大是焦点     时间: 2008-12-17 05:12    标题: 一个我个人的反盗号思路

网络木马盛行,其目的都是盗取密码信息非法获利.而在这各种各样的木马里面都是通过监视用户密码输入的行为进行盗取动作的.
      时至今日,我们对付木马的方法都是以防和杀为主.有传统的特征码扫描方法,也有主动防御的行为监视法.但是就我个人看来,这些都是被动治标不治本的方法.
     今天我有个新的思路,希望给素有主动防御先祖之称的微点开发部门一点启发.针对木马的行为特点,我们给窃密都是在输入密码的那一刻.那么,假设我们的用户不直接用输入密码的方法来登陆是否能更有效的防范木马的危害呢?
     比如说,我们为微点增加一项功能.让用户可以预先设置密码信息在微点里,然后将这些信息上传到微点的服务器里(目的为了避免密码信息在本机给黑客破解).当用户需要登陆相关网游或者银行网页时,可以直接调用预先在微点设置好的密码,通过微点服务器将这些信息代为输入,从而达到安全登陆而避免给木马监视的目的.
      要开通这样的服务,我想不仅仅是技术问题,还要特别调用出另外的服务器处理这些数据.但是,同时我们也可以看出一种商机.这样的微点可以与传统的微点区分开来,更有效的将产品细分.具有密码代输入功能的微点可以算作是VIP版的微点吧.
     对于个人数据安全有这巨大的市场需求,一个企业要生存先要学会如何谋利才能继续开发技术.希望微点的技术部门分析下这个新技术(或者新服务)的可行性.如果成功开发的话,那将会是微点大大区别于别的杀软的另一项新技术,而且其商业价值潜力也巨大.
作者: 微点放大是焦点     时间: 2008-12-17 05:15
这个想法是我刚想出来的,我并没有在其它网站发表过.因为我觉得有好的主意刚先便宜一下微点啦......哈哈,其实如果这个思路可行的话其它杀软厂商也必然会争先开发的.所以先来这边发表了,希望得到微点技术部门的注意.
     就知道等下版主的回复是:"感谢你对微点的支持,我们会认真考虑的...."这样回复的了.我不要你们这样回复啊!我想知道是这个想法是否存在可行性.是否存在价值.
作者: hanker     时间: 2008-12-17 08:30
首先我给你说下,这个思路完全不可能,任何一个安全公司都不会采取,没有哪家公司敢让这么多用户把密码放在自己的服务器,玩意这个公司的服务器遭到入侵,这么庞大的用户密码怎么办?
这是不可能的,兄弟.............
作者: 囚中城     时间: 2008-12-17 08:54
可以像淘宝之类的弄密码钥
作者: ballpointpen     时间: 2008-12-17 13:47
可能性不大
作者: snhao     时间: 2008-12-17 16:21
没有人愿意把自己的私密信息交给别人来保管
作者: wwc1029     时间: 2008-12-17 19:43
不想打击你,但可行性实在太低
作者: 独孤不平     时间: 2008-12-17 20:51
个人信息就是个人信息,一个安全软件只能够去保护用户隐私,而不是去帮用户保管,涉及到用户私人密码的更不是一个安全软件可以做的事情。。。
作者: 微点放大是焦点     时间: 2008-12-17 22:29
第一个吃只螃蟹的人需要胆量,至于第三方的安全性,责任性肯定以协议的形式跟用户声明啦.

[ Last edited by 微点放大是焦点 on 2008-12-17 at 22:32 ]
作者: 独孤不平     时间: 2008-12-17 22:56


  Quote:
Originally posted by 微点放大是焦点 at 2008-12-17 22:29:
第一个吃只螃蟹的人需要胆量,至于第三方的安全性,责任性肯定以协议的形式跟用户声明啦.

[ Last edited by 微点放大是焦点 on 2008-12-17 at 22:32 ]

我就是这几天再喝酒再发晕,也知道我的密码凭什么让别人保管,微点防得住木马账号不被盗是微点的本事,密码的管理只限于用户与客户端开发商吧,相对于用户是明文的,相对开发商是密文的,安全软件只是起保障作用吧,隐私管理那是我个人的事情
作者: 微点放大是焦点     时间: 2008-12-18 00:54
这个服务是应该有个责任范围的啊!比如说,我只帮你保管责任较小的项目.例如网游,超出此范围的服务提供方只负责有限责任.
     并且这项服务将会是用户的自定义的选项,信任得我的可以用,不信任我就不去用,条款也清楚明白.会有什么风险吗?
作者: 独孤不平     时间: 2008-12-18 02:02
用户输入密码>>登陆
程序输入密码>>登陆

网游提供给用户使用>>用户登陆

就算可以数据包传回来一样要解密,然后输入,最终一样可以被勾出来或者读内存读出来,无非就是一个过滤的问题和一个什么时候锁定内存读数据的问题,内存里面的数据在使用的时候不可能还是密文的。。。除非你直接与验证服务器IO,把验证结果返回给游戏客户端,那么游戏客户端又必须为你量身定做适当的网游,而且还会暴露出N多可以不用密码绕过验证的问题。
OVER,感觉说的很清楚了,OK?
作者: baihaisong     时间: 2008-12-22 11:49
ibm有个软件ibm client security software有这个功能。在你登陆网站的时候,比如说银行网站。在输入账号密码的时候自动就登陆了。

但是有些论坛带验证码的不好用。该软件自己也有保护措施。就是用指纹才能登陆到软件里。所以基本不用担心黑客入侵到该软件里。获取账户密码。

我想微点也可以参照这个做一个附加的软件。。。。
作者: hccccc     时间: 2008-12-31 00:20
倒是可以学习下诺顿的密码验证工具,但用户一般不愿意把自己的信息保存给别人的吧。谁也不敢担保不泄密。何况在传送的过程中,很有可能被有心人截留并解读。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn