|
|
来源:天极网 赵福军
你是否曾经为游戏中的自由,休闲而快乐,但也曾为自己心爱的账号,装备被盗窃而感到郁闷,恼火呢?在网络立法尤其是网络游戏立法严重滞后的现今,通过法律途径来保护玩家的虚拟财产的路途上充满了棘草和障碍,一个很现实的问题摆在每个关注和参与网络游戏的人的面前:网络游戏中玩家的权益如何保护?尤其是用什么来保护网络游戏中的虚拟财产?
任何网络游戏都是建立在一定的网络技术的基础上,而任何技术都不可能保证完全的安全和稳定,没有任何的BUG。网络游戏账号系统也一样,据统计虚拟财产被窃取的达到61%,账号被窃取的达到33%,被黑客攻击过的占到6%。通常玩家的账号是通过以下方法被盗窃的:利用木马等黑客程序窃取;利用系统漏洞,远程控制窃取;在旁边观望玩家输入账号和密码时偷看并记忆下从而窃取;通过猜测密码而窃取等。其中通过各种木马程序攻击,威胁并从而盗窃账号或装备所占的比例最大,据估计被盗取装备的玩家中,有93%是受到了木马程序的攻击。因此在某种程度上可以说:玩家的账号等虚拟财产是因为技术保护措施的不足而被技术措施窃取的。但是在网络立法严重滞后后,尤其是玩家通过法律手段来维护自己权益的途径走不通的情况下,以新的技术方法来弥补和克服技术本身带来的漏洞和问题可以说是一种可行的“以毒攻毒”的好方法。很多研究网络法的学者门也都提出网络法的规则既包括社区性的网络法律规范,更包括技术性的网络法律规范。而技术性的法律规范的产生通常是首先经由某个公司生产或发明某种新产品,新技术标准,然后以事实证明其的优势并成为行业标准,最后经过立法给予认定和采纳。
网络游戏的账号系统通常是以用户输入自己记忆的静态密码,从而达到认证目的的。但是由于这种静态密码是固定的,而且通常用户选用的是常用的易被推测出的数字比如自己的生日,自家中的电话号码,身份证号等,这必然导致用户的密码容易被一些别有用心的人窃取,如何保护用户的密码安全问题可以说是长期困扰着各国银行,金融,公安,政府等相关系统,由于现今各国运营的各种网络游戏选用的也是静态密码认证账号系统,也必然存在着如何维护和保证玩家账号安全,不被窃取的问题。
为了克服静态口令认证的缺陷,20世纪80年代初,美国科学家Leslie Lamport首次提出了利用散列函数产生一次性口令的思想,即用户每次登录系统时使用的口令是变化的。1991年贝尔通信研究中心用DES加密算法首次研制出了基于一次性口令思想的挑战/应答式动态密码身份认证系统S/KEY,之后,更安全的基于MD4和MD5散列算法的动态密码认证系统也开发出来。为了克服“挑战/应答式动态密码认证系统”使用过程烦琐、占用过多通信时间的缺点,美国著名加密算法研究实验室RSA研制成功了基于时间同步的动态密码认证系统RSA SecurID,RSA公司也由此获得了时间同步的专利。除RSA公司外,美国的Secure Computing公司和 AXENT(Symantec)公司也是动态密码认证产品的供应商。动态密码身份认证系统有两个主要设备:一个是担负用户身份认证的服务器,另一个是用户持有的密码卡。在服务器和密码卡中加载了相同的密码生成软件和代表用户身份的惟一的识别码。当给用户发卡时,用户的识别码不仅初始化在服务器数据库的用户信息表中,而且还加载在密码卡中,另一部分(PIN)由用户记忆在头脑中。当用户登录系统时,键入PIN码后,密码卡每一分钟都生成一个与该卡对应的惟一的、不可预测的密码。当账号和密码传输到服务器时,服务器能够从不可预测的密码组合中判别用户的合法性和真实性。 由于用户持有密码卡,且只有自己知道PIN码;密码卡每一分钟都产生一个新的密码,不可预测,并只能使用一次;密钥存放在服务器和密码卡中,不在网络中传输。所以,动态密码不怕被人偷看,不怕“黑客”的网络窃听,不怕“重放攻击”,不能猜测,不易破解,具有较高的安全性和使用方便性。近年来,动态密码身份认证越来越受到青睐。目前,全球已有超过1000万人使用名片大小的动态密码卡,用于企业员工、合作伙伴、客户访问企业内部网,股民进行网上证券委托交易以及网上银行交易、电子报关、电子报税、社区管理等。
根据以上的介绍和分析,通过静态和动态双层密码认证技术无疑是保护玩家账号安全从而替代性解决网游法律保护的不足,无论是现在还是往后都将是可行的,必要的。笔者在搜索动态密码保护时了解到国内也已经开始有网络游戏公司采用了此项技术来保护账号的安全。
当法律维权的途径走不通的时候,退而求其次,寻求别的途径就成了必然选择。网络问题尤其是如此,网络问题并非必须靠法律才可以解决,通过新的技术来解决技术本身所带来的问题,永远是值得人们思考的,从经济学的角度而言,替代就是一种成功,替代就是一种解决问题的方法。 |
|
发表于 2004-9-1 11:04:00
发表于 2004-9-6 01:40:00