电话密保带来的危机
电话密保开发出来后,我最近做了一个实验。
假设我是一个盗号者,而目标帐号的身份证资料是虚假填写的(在几年前,虚假填写这类资料的情况比较普遍)。这样的人,他捍卫他帐号的安全法宝有:1、帐号密码;2、物品锁;3、安全码(你们所说的“安全码是帐号最高级别的安全凭证之一)。我只需要盗取他的帐号密码就可以了。原本的物品锁和安全码对帐号的保护功能完全被架空了。以下为大家解说一下盗号的流程:
首先,取得帐号密码。在大话西游二的世界里,一般一些高级的号都很容易就能问到帐号密码。例如诓称自己想买对方的号,然后要索取帐号看对方的属性……获得帐号的方式可以更加多种多样,而且一般都能成功。这样目标帐号的密码就到手了。由于骗得密码实在太容易,大话西游2的玩家都清楚这一点,这里就不展开说明了。
然后就是实施盗号了。
步骤如下:1、登陆通行证,注销原有的关联手机。(这时原帐号所有者会收到一条短信,告诉他关联手机被注销,但是由于延时等原因,被盗者作出反盗号措施前,你已经有足够的时间可以把号弄到手了);2、把关联手机换上你的号码;3、立刻注册电话密保服务(首次使用电话密保用户,由于电话密保的登陆需要电话验证,这样令到登陆帐号比较麻烦,而且大家对这项服务认识不够深,很多人还没注册此项业务,纵使他是免费的,也没多少人注册)整个注册流程完全不需要安全码的输入。到这里,盗号者已经成功把号盗取了。被盗者只有重新找回注册时的身份证,以及其他安全资料才能通过客服把帐号要回来。没身份证就学别人去玩网游的小朋友,你们就认倒霉吧。
我想说说这里存在的最大的漏洞和矛盾的地方。
既然安全码是玩家最高级别的安全凭证,为什么用它来改密码要得的比他低级的电话密保的认同才能改呢,而设置和删除电话密保却完全不需要安全码呢,这样给大家安全码还有什么用呢(安全码只是剩下能锁定帐号了),究竟是安全码高级还是电话密保高级呢?再补充一下,我上面所说的是首次注册电话密保用户,帐号本人已经注册了,情况会不会不一样呢?我给的答案是根本就是一样的结果。这里我来分析一下,首先确定你已被盗号者骗到你肯告诉他帐号密码了,那么你会不会为盗号者打开修改电话密保的那一次电话呢?你是一定会打的,因为你给号盗号者,就证明你愿意让盗号者登陆你的号(虽然你只是想他登陆你号一次),这样盗号者就可以趁你这个电话的机会把你的号盗了。
上面我所说的盗号方法,已经有人在使用了,而且我的几个朋友也丢号了,虚拟财产损失约几万人民币。由于我是手机密保用户,盗号者在注册电话密保的时候得不到同意而盗号失败,所以我是几个朋友里的唯一幸存者。也许我的想法有点主观,我认为是网易的疏忽,制造机会给盗号者,让盗号者猖狂,虽然他们从中好象没得到什么东西。但是不难令人怀疑网易是不是在为大话西游2.5版打下伏笔呢,毕竟拥有大量神兽、守护的大话玩家网易要把他们转变为大话2.5的玩家有很大的难度,因为他们已经为大话2付出了太多了(金钱和时间等)。但是你们有没有想过,你们这样做还有多少个人会信你们网易公司呢?你们这样做可能是对国家防沉迷系统的一个不满吧。反正防沉迷的存在就是要把网游这个产业搞死,你们就让玩家们先死吧。
最后对将近绝望的大话2提一下建议,1、安全码可以需要通过电话密保验证就能改密码;2、电话密保的增加、修改、删除等希望能先征求一下帐号最高级别的安全凭证的同意才能操作成功。第一点建议是为了挽救已经被盗号,但是还是在天天锁定帐号没死心的玩家,有机会能取回自己心爱的大话号。
第二点建议是为了保障还没被侵害的玩家。
论坛地址:http://bbs1.yezizhu.yzz.cn/dispbbs.asp?boardID=6&ID=773669&page=6