相信认真好学的差友们,应该都看过昨天差评君给大家深入浅出的讲解 QQ 登录二维码引发的大规模盗号事件了。(传送门)
让世超没想到的是:QQ 二维码盗号的风波还没过去,QQ 泄露密码又一次冲上了热搜。
根据新浪科技的爆料,有大量 QQ 用户反馈,自己在退出 QQ 之后,退回到登录界面显示自己的 QQ 密码变成了 123456789 ,而且输入 123456789 是可以登录 QQ 的。
如果这事是真的,那么它的影响力和破坏力绝对大于二维码盗刷了,这事可影响了上亿级别的 QQ 用户啊。
如果我登录了 QQ ,腾讯就把我的密码默认改成 123456789 ,那么别说是个黑客了,只要知道这个 BUG ,那么我的 QQ 密码简直形同虚设。
任何人只要知道我的 QQ 号,然后无脑输入 123456789 ,简直一试一个准啊!
看完这条新闻,吓的世超立马打开了自己的 QQ ,来验证一下这个被网友们传的沸沸扬扬的 QQ 密码泄露事件。
我在手机上退出了自己的 QQ 账号回到登录界面,发现自己的 QQ 密码,的确如网友们所说的变成了 123456789 。
最诡异的是:点击登录之后,还真能直接登上自己的 QQ 。
除了这个情况,世超还在后台收到了很多差友们的留言,说自己的设备出现了另一个 BUG。
据说手动输入 123456789 也可以登录账号。
这就是我们接下来要验证的部分了。
一波操作过后,倒是没遇到差友们说的情况,如果我手动输入 123456789 ,显示的是账号密码错误,而不是直接登录。
当然,这并不排除是腾讯连夜修复了 BUG。但密码显示的问题其实并不是 QQ 的 BUG ,反而是 QQ 用来保护你密码耍的一个小心思。
差友们在登录 QQ 密码时,是可以勾选这个显示密码的按钮,这样你就可以看到自己输入的密码了,这个显示密码设置原本是为了预防大家输错密码的。
这个小功能虽然方便,但是却存在一个安全隐患:
如果有人拿了你手机,想要知道你的 QQ 密码,他们完全可以在你的手机上退出登录过的 QQ 账号,然后通过这个显示密码的功能,看到你的 QQ 密码。
所以 QQ 为了防止这种情况的发生,在你退出登录后点击显示密码,就直接用 123456789 这串数字代替了。
所以出现在你 QQ 登录界面的无论是 123456789 还是 *******,他们都不代表任何具体的密码。
它们相当于服务器给了用户一个临时的通行证,并且你不能删除这串通行证中任何一个数字,删除任何一个都会让整个临时通行证失效。
这种机制,其实是 QQ 免密快捷登录的一部分。
差友们在一台新设备上首次登录 QQ 时,需要完整的输入一遍自己的密码,还需要进行一些安全验证。
这么做的目的是,让系统识别出这次操作是账号主人完成的,这是一台安全的设备,QQ 会给这台设备留下一个全球唯一的识别码,存在服务器中。
差友们下次再用这台设备登入 QQ 时,就会触发这个叫做免密码快捷登录的机制,并且 QQ 是默认自动开启的。
差友们不需要在输入一遍密码,系统会自动拿着这台机器上的设备码去验证,确认是同一个设备码后就自动帮你登录了。
这样就省下了你输入密码的时间。所以出现在你 QQ 登录界面显示的无论是 123456789 还是 *******,他们都不代表任何具体的密码。
他们只是一个标记而已,当你再打开 QQ 输入密码时,系统直接检查你的设备码和服务器上的是否一致就可以了。
所以本质上,这个 123456789 可以是任何数字。
这就是免密码快捷登录的本质,即保护用户的隐私,同时兼顾便利性的一个解决方案。
至于为什么世超手动输入 123456789 后,并不能登入 QQ ,也不排除腾讯趁着我们不注意,把这个 BUG 给修复了。
遇到了这种 BUG 的差友们,其实也不用担心,想要通过这个渠道登录 ,首先就得用经过认证的设备。
如果别人想要在其他设备上登录你的 QQ ,那么安全设备认证这一关就过不去。