如何保障即时通讯的安全性

标签: News | 发表时间:2010-05-29 05:54 | 作者:Lawrence Li 老杜
出处:http://apple4.us

接着上次谈电邮安全的问答,讲讲即时通讯(IM)的安全问题。这会是一个系列,本篇的主答题者是 Rio,并综合了读者在留言中的意见。—— 编者

一、QQ, MSN, GTalk, Skype,哪个最安全,哪个最不安全?

答:因为众所周知的原因,最不靠谱的当然是 QQ,所以如果你有秘密或者艳照之类,千万不要通过 QQ 传递。MSN 的通讯是明文未加密的,也不是很靠谱,不过好像有插件可以提供加密,但要求聊天双方都安装。Skype 的情况稍微复杂点,简单来说,就是不要使用从 skype.tom.com (Skype 在国内的御用合作伙伴)下载的简体中文版 Skype。具体原因不便多说,有兴趣的话请自行搜索(提示:研究是由加拿大多伦多大学的一个实验室进行的)。请各位绕道墙外下载 Skype 官方客户端。(例如用这个地址访问 Skype 英国站。)

GTalk 其实比较好,谷歌自家的客户端就提供加密功能,只是用的人不多,另外在非 Windows 平台上没有官方客户端。需要注意的一点是,据我们目前所知,只有英文版的 GTalk 客户端才确认有加密。此外,通过 Gmail 的网页介面使用 GTalk 也是默认 HTTPS 加密的。

二、用 AdiumPidgin 的人可以选用 OTR 加密,这个的安全性如何?

答:靠谱。另外 Miranda IM 的插件 SecureIM 可以实现端对端的强加密。 IRC 也是很安全的,而且在 Windows / Linux / BSD / Mac 下都有客户端,只是技术社群以外的人用得不多。

三、也有很多人用 MSN Shell 来加密 MSN 对话,这个真的安全吗?

答:我没用过,不太清楚。不过我一贯的信条是看不到源代码就不信任,所以不是太放心。况且 MSN Shell 是在 Windows 上运行的,该平台又是以木马、后门、和病毒闻名于世,如果用的还是来路不明的盗版,那剩下的也就不用多说了,白搭。

如果操作系统是正版 Windows,平时也很注意安全,确认电脑没有木马、后门、病毒等等,这时使用 Pidgin + OTR 还是可以的。

四、用 iChat 上 GTalk,安全性又如何?

答:iChat 添加的 GTalk 账户默认是 SSL 加密的,安全。

五、iChat 是专有软件,Adium 是开源软件,所以大体来说 Adium 比 iChat 更安全——你没法确定苹果没有监视和保存你的聊天记录。这个说法有道理吗?

答:嗯,的确是这样的。不过貌似苹果不像谷歌,对用户内容没有兴趣吧…… 只能假设它不作恶了 :|

六、虽然说 QQ 最不安全,但如果我电脑开了 VPN,是不是也就无所谓了?

答:也不行。QQ 是客户端和服务器的问题,跟你开不开 VPN 没有关系。这个和 Tom 版 Skype 是一个问题。

七、如果我一定要用一款 IM 软件把我的密码发给我女友 / 男友 / 父母,应该选用哪款?要做什么防范措施?

答:GTalk,或者 Adium + OTR。其实我一般有这种要紧的东西要发都是让对方使用加密连接到 Gmail 接收的。使用暗语或者图像也可以避免密码被机器识别。如果确实是很重要很重要的东西,还可以考虑采用多渠道分别发送。比如你可以将该密码存为一个文本文件再次加密(选个强的随机密码),然后通过 MSN 传送加密后的文件,然后通过 GTalk 或者 Gmail 甚至电话等其他渠道告知对方解密的密码。这个方法可以反复叠用多做几次。

八、假设有人在监听我每天和客户的 Skype 语音通话,如果我通话时打开 VPN,是否可以确保通话内容即便被截取,也无法被听到?(换句话说:VPN 对文字以外的信息是否有效?)

答:如果你不属于被特别「关照」的人群,一般也不会有人来监听你的语音通信。这个需要的带宽、计算资源比较大,对监听方来说不是很经济。也许等以后有比较成熟的语音转文字技术后这会是个问题,但现阶段大多数人不用太担心这个。但文字记录可以非常容易的获取,所以 Tom.com 的那个有问题的 Skype 版本才能够有效地大规模搜集信息。

VPN (常见的 PPTP 和 L2TP/IPSec) 对所有信息都加密的,所以不管是文字还是语音,只要是通过 VPN 连接的都是安全的。不过需要注意在网络连接那里一定要选择将所有流量都通过 VPN 发送。Mac OS X 上这样操作:在 Network Preferences 里面选中你的 VPN 连接,然后点 Advanced 按钮,在 Options 标签的 Session 下面勾选 Send all traffic over VPN connection,然后保存修改。

不过,VPN 的加密仅限从你的电脑到你的 VPN 服务器这一段,之后就不保证了。因此如果需要确保整个对话安全,你和对方都必须使用 VPN ,而且你们两个的 VPN 之间的连接也要是加密的。比较简单的办法是你和对方都同时连接到同一个可以信任的 VPN 上。再次强调,不要使用从 Tom.com 上下载的 Skype!

九、上班族之间经常有「公司的 IT 部门会统一监视公司内部的 MSN 对话」的说法。假设此说属实,但我仍然需要在公司用 MSN 说一些不希望被任何其他人看到的话,应该怎么做?

答:有些公司真的会这样干。我一个朋友的朋友就因为说了不该说的被炒掉了。如果非要 MSN,那就用插件加密或者用那个 MSN Shell 吧。套用谷歌 CEO 什密特的说法,如果你不想被人听到,那最好是不要说……至少等回家再说吧?

结论:

一、任何情况下都不要用 QQ,不要用中国版(Tom 版)Skype。

二、谈机密话题时不要用 MSN,哪怕是加了 MSN Shell 的 MSN。

三、尽量多用 GTalk,记得一定用英文版。

四、用 Adium 或 Pidgin 谈机密话题时,尽量打开 OTR 加密。

五、涉密时,如果要在即时通讯和电邮之间二选一的话,请选电邮:目前主流的即时通讯软件(QQ 和 MSN)都不安全,相比之下,至少强制 HTTPS 加密的 Gmail 是相当可靠的选择。关于如何保障电邮通讯的安全性,请看我们之前的文章

相关 [即时通讯] 推荐:

企业即时通讯市场研究

- chris - 月光博客
  企业即时通信,简称EIM(Enterprise Instant Messaging),它是一种面向企业终端使用者的网络沟通工具服务,使用者可以通过安装了即时通信的终端机进行两人或多人之间的实时沟通. 交流内容包括文字、界面、语音、视频及文件互发等.   根据国外调研机构eMarketer数据显示,截止到2010年底,企业即时通讯市场规模将达到6.88亿美元.

即时通讯解决方案参考

- - CSDN博客Web前端推荐文章
方案1、使用GCM服务(Google Cloud Messaging). 简介:Google推出的云消息服务,即第二代的C2DM. 优点:Google提供的服务、原生、简单,无需实现和部署服务端. 缺点:Android版本限制(必须大于2.2版本),该服务在国内不够稳定、需要用户绑定Google帐号,受限于Google.

如何保障即时通讯的安全性

- 老杜 - apple4us
接着上次谈电邮安全的问答,讲讲即时通讯(IM)的安全问题. 这会是一个系列,本篇的主答题者是 Rio,并综合了读者在留言中的意见. 一、QQ, MSN, GTalk, Skype,哪个最安全,哪个最不安全. 答:因为众所周知的原因,最不靠谱的当然是 QQ,所以如果你有秘密或者艳照之类,千万不要通过 QQ 传递.

联通即时通讯“沃友”今日上线 首推Android版

- franklee - cnBeta.COM
8月5日消息,中国联通“沃友”Android校园版和PC客户端于今日正式发布,下载地址为(im.wo.com.cn). “沃友”由中国联通子公司联通宽带在线有限公司负责运营,定位为一款面向互联网和手机用户,跨运营商、跨平台的即时通信软件. 用户安装 “沃友”后,客户端将扫描分析用户的手机通信录,帮助用户寻找手机通信录中已经使用“沃友”的朋友.

三星在Android Market发布移动即时通讯服务ChatOn

- Elic - cnBeta.COM
三星今天向Android Market投放了免费移动即时通讯服务ChatOn的客户端. 除三星Bada系统外,ChatOn还兼容Android、iOS等主要手机操作系统. ChatOn适用于所有主要智能机和功能手机平台,可以让用户在不受系统平台限制的情况下与朋友、家人进行互动,进行一对一对话、群聊、群发信息,共享图 片、视频、语音信息和联系人.

文本即时通讯动了移动运营商的蛋糕

- - Solidot
移动平台上的文本即时通讯软件WhatsApp、微信、Kakao Talk和Line,正日益取代短信成为数亿人不可或缺的通讯工具. 文本即时通讯的费用主要来自使用的流量,相比短信要低得多,因此严重冲击了移动运营商. 用户收发一条短信可能需要支付高达20美分的费用,而运营商的成本仅为0.01美分. 根据市场研究公司Ovum的数据,截止2012年底,文本即时通讯应用程序的崛起已导致运营商损失了230亿美元的收入.

有板有眼:移动即时通讯服务未来谁更有优势?

- 陈耀斌 - 对牛乱弹琴 | Playin' with IT
问:移动即时通讯(短信息)服务的提供商会有运营商、软件开放商、手机制造商. 在不同平台上,优势会有所差异吗. 答:移动即时通信服务不能忘了短信,在谈论移动即时通信服务的时候,应该包括移动IM和SMS. 所以先看看IM和SMS有什么异同. 相同点不必多说,对用户来说,都是发送简短的信息给某人,在使用体验上和功能实现上,似乎差别不大.

基于XMPP协议的手机多方多端即时通讯方案

- 山石 - 博客园-首页原创精华区
基于XMPP协议的手机多方多端即时通讯方案. 基于XMPP协议的手机多方多端即时通讯方案. 3、       为什么选择XMPP协议. 5、 Xmpp提供电子名片协议. 1、       什么是Openfire. 2、       为什么使用Openfire. 3、       Windows下搭建服务器.

【聊天工具→企业即时通讯系统 - ExtremeTalk】ExtremeTalk(XT)是一个

- If you are thinking one year ahead, you plant rice. If you are thinking twenty years ahead, you plant trees. If you are thinking a hundred years ahead, you educate people. - Java开源大全
ExtremeTalk(XT)是一个用于企业或者组织内部进行在线通讯的,基于XMPP(Jabber)协议的即时通讯系统. 您可以将XT部署在您的内部局域网内,并且通过XT的管理控制台建立企业组织架构、添加企业内部联系人来给企业内部人员分配IM帐号. 分配到帐号的人员可以使用支持XMPP协议的客户端进行单人或多人的在线通讯,传送文件等.

【平台】关于即时通讯应用,品牌必须知道的5件事

- - SocialBeta
最近几年,即时通讯应用很火. Snapchat,Line,Kik,微信,WhatsApp在众多应用中脱颖而出,已经聚集了上亿的用户,而且从目前的趋势来看,即时通讯应用的市场仍然在进一步扩大,这块大蛋糕的吸引力也让更多人垂涎不已. 面对这样一个诱人的市场,营销人自然也不甘落后. 众多品牌争先恐后地向即时通讯应用伸出了触角,其中不少品牌已经成功进入了Snapchat,而著名蛋黄酱品牌Hellman’s也已经开始用WhatsApp来营销.