关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


老百姓的网络安全之密码安全(一)

2015-10-26 17:22 推荐: 浏览: 92字号:

摘要: 密码安全是个老生常谈的问题,也是会使老百姓最疑惑不解的问题,因为有些时候你的账户安全决定于密码的长度;有些时候决定于密码里字符的多样性(数字、字母、特殊字符);有些时候则和密码强弱完全无关。这使得人们疑惑,究竟什么样的密码是安全的?什么时候安全,什么时候不安...

密码安全是个老生常谈的问题,也是会使老百姓最疑惑不解的问题,因为有些时候你的账户安全决定于密码的长度;有些时候决定于密码里字符的多样性(数字、字母、特殊字符);有些时候则和密码强弱完全无关。这使得人们疑惑,究竟什么样的密码是安全的?什么时候安全,什么时候不安全?怎样保证自己的密码安全?还有怎样创建、保管和记住自己的密码?
先来说说网站数据库存储用户密码的几种常见形式:

1、明文存储。这是一种对用户安全极其不负责任的密码存储方式。只要数据库泄露,密码必爆无疑。

2、简单哈希存储。哈希(Hash)是指将任意长度的信息通过某种算法进行不可逆转的压缩,并形成具有“一定程度上的唯一性”的一段数值,譬如将信息“admin”通过md5哈希算法压缩成:21232f297a57a5a743894a0e4a801fc3。

至于“一定程度上的唯一性”这段话很好理解,md5算法形成的数值长度固定为32位16进制,那么所能表达的摘要空间最大也就是32的16次幂这么大,而密码的多样性却是宇宙无极限的,因此理论上存在无数多个与已知md5哈希一样的密码。但由于算法的不可逆转性质,一般情况下很难找到与已知密码哈希相同的其他密码。不过这也不是绝对,我国山东大学数学专家王小云已经破译了md5算法,虽然现阶段还无法通过一段md5哈希反溯回密码,但是却可以将两段不同的信息通过改造,在短时间内生成具有同样md5哈希值的两段信息。即便如此,这个破坏力也是相当大了。

目前黑客破解哈希主要是通过另外一种方式:穷举。虽然前面说密码的多样性是宇宙无极限的,但是在现实的应用时还是有限的。主要受限于密码的长度和字符的多样性。对网络较为熟练的老百姓有时会遇到在创建密码时遇到限定的情况,譬如:密码由字母、数字组成,长度在6-16之间。那么密码的多样性就被大大限定住了。这个限定所能表达的空间有多大呢?(10+26)^16-(10+26)^5这么大。当然这个空间依旧很大,不过可悲的是绝大多数用户在设定密码时可能连8位都不到。12位的由数字+字母组成的密码空间基本上涵盖了90%以上的用户,而黑客进行穷举所针对正是这90%的用户。这包括不包括你呢?

穷举是指黑客按一定规则生成密码字典,并生成md5哈希与已获得哈希进行对比的方式。如果密码字典为6-12位所有数字、字母组合,那么此时即便你的密码是12345!,那么也是无论如何破解不出来的,因为他字典里没有。不过不建议大家如此取巧,设置这么短的密码。因为密码字典的生成同样具有多样性。

常见的哈希算法有md5、sha1、sha256、sha512等,前些日子网易邮箱被暴密码泄露,所使用的哈希算法就是最不安全的md5。

3、复合式哈希存储。所谓复合式哈希指通过将密码使用相同或不同的哈希算法进行多次压缩,或添加、减少、变换信息后再进行压缩的哈希生成方法。譬如将密码使用md5算法压缩一遍后,再使用sha1算法再压缩一遍;或者将密码“admin”后面追加一定的特殊字符(业界叫salt,盐),譬如加上“a57a5a74”再进行压缩。以上两种方式可以互相结合,多次使用。

这样的哈希被黑客获得后,如果不知道网站采用的复合算法是无法进行穷举的,而且此时之前预生成的哈希对照表(业界称为彩虹表)也将失去作用;不过在知道或猜出复合算法的前提下,依然可以进行穷举破解。

这种复合式哈希算法已经逐渐被各大网站所使用,也是目前市面上安全性最高的密码哈希存储形式。当然具体还要看网站所采用的复合哈希算法构成,一般来讲:使用不同哈希算法多次复合的安全性要高于使用相同哈希算法进行复合;使用“盐”的要高于不使用“盐”的;一盐一密的要高于一盐多密的。

再来说说黑客获取你密码的几种常见形式,下面分别从非针对性和针对性加以介绍。

所谓非针对性即指黑客在获知你密码之前,并没有主观把你当成他的目标,只是如同下海捞鱼一般把你捞到而已。常见的几种攻击利用形式有:拖库、撞库、暴力破解等。

拖库是指黑客利用你账号所在网站漏洞直接获取对方存储在数据库中的用户信息的行为。最近“火了一把”的网易邮箱密码泄露事件就被认定是拖库造成的。

撞库是指黑客通过收集拖库的账号密码,并在其他站点上以相同的账号密码进行试探性登录的行为。譬如黑客搜集了CSDN被拖库所暴露的密码,并在iCloud上进行尝试性登录,一旦登录则撞库成功,接下来就可以改你iCloud密码,锁定你的apple设备,发消息要挟你了。

暴力破解是指黑客通过一定规则生成弱密码字典,在目标网站上不断的进行尝试性登录的行为。这也是目前大多数网站在登录时需要输入验证码的原因,因为验证码在很大程度上降低了暴力破解的效率。话说在2003年之前,QQ就有密码暴力破解漏洞,很多QQ都是通过这种方式被盗的。所以网站对于暴力破解是有防御措施的,并且负有不可推卸的责任。

而针对性是指黑客在获得你密码之前,已经主观上将你当成目标,并专门对你进行调查研究,制定特别的方案,采取特殊的手段或技巧来获得你的密码。常见的几种攻击利用形式有:针对性密码字典、密码找回、中木马、接触式社工等

其实针对性攻击一般都要结合一些社会工程学手段(简称“社工”),社会工程学英文为SocialEngineering,又被翻译为社交工程学。是“一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法”(关于社会工程学的详细介绍请参见百度百科:http://baike.baidu.com/view/118411.htm)。

社工这个词汇可能不太好理解,我举个例子:大部分人在设置密码时喜欢用现实中存在的数字或字母组合,譬如:自己或家人的生日、手机号、身份证号后几位、名字等,黑客先通过各种方式获得这部分信息,例如QQ个人资料、备注、微博个人资料等等,当然更恐怖是直接通过网络或现实进行“面对面”欺骗的形式套取所需信息。然后将这部分信息通过排列组合的方式形成字典,再进行针对性暴力破解。

所以针对性密码字典是指黑客通过各种手段获取用户的各种信息,包括但不限于:姓名、年龄、生日、出生地、身份证、手机号、电话号、邮箱、QQ号、网上其他账号或密码信息、居住地信息、家人或伴侣的相关信息,并对部分信息加以加工,譬如张三这个姓名的拼音zhangsan、首字母zs(Zs、ZS)、姓zhang、名san,身份证的前几位、后几位、中间几位等等。再进行两种或两种以上的排列组合生成字典,譬如zs19860101,再加上弱密码字典进行暴力破解或密码碰撞的方法。

弱密码字典指抽取网络中用户使用密码中的高概率密码形成的字典。包括不限于:

相同数字或字母组合: 111111、aaaaaa、aaa111

升降的数字或字母组合:123456、abcdef、abc123、123123

键盘横向或纵向排列的字母:qazwsx、qwerty、!@#$%^、147258

具有一定意义的数字排列:5211314、5201314、31415926

拼音或单词短语:mima、woaini、password、iloveyou

当然以上只是举个例子。如果在例子中就已经把你密码打中了,那只能说你这密码实在是弱到爆了。

 

密码找回也是一个获取用户密码的重要方式。关于这个只能说老百姓们太朴实了!我直接举例子吧:

问:123456

答:123456

---

问:1+2=?

答:3

---

问:我最喜欢的动物是啥?

答:猫(狗)

---

问:我最喜欢的球星是谁?

答:贝克汉姆(这个只要枚举就可以了)

---

问:我父亲的名字是啥?

答:张三(这个结合社工技巧很容易得到)

 

这些安全问题最大的问题不在于问题是什么,最大的问题在于答案是问题的答案,并且这个答案还是你一般不容易忘记的答案。不容易忘记的答案通常是我们日常生活中最提在嘴边的,所以你才不会忘记。而最提在嘴边的事情往往在生活中不是秘密。所以你看看,网络创造了密码找回提示问题的同时设置了一个多么大的悖论啊!

结合一点社工技巧,这答案基本上是手到擒来、轻而易举。

譬如你加了一个美女微信好友,也聊了很久了:

美女:对了,你那天跟我说起你儿子时,说他快过生日了啊,你准备什么礼物了吗?

你:没有啊,你记错了吧。我儿子生日是4月15,还有大半年呢!

所以你看看,甚至人家都没直接问,你就已经把儿子的生日说出来了。你在说这个事情的时候,肯定想不到密码提示问题的事情。

对于安全问题和答案,Monyer的意见是:一定要答非所问。

问:你儿子的生日是什么?

答:还行!味道有点闲!

当然,你得记住啊!

 

中木马这个比较好理解,如果木马进来了,盗密码易如反掌。以后我会专门开一讲讲木马被植入的几种渠道,以及防范方法。

接触式社工也比较好理解,刚才讲的那个美女就是一种接触式社工的例子。当然更极端的,还有地面接触的例子,这几乎等价于特工了。所有社工均是利用人性弱点的,我总结为:喜、怒、哀、惧、爱、恶、欲、贪、嗔、痴。以后在讲网络诈骗时,我会具体来讲。

好了,由于篇幅的原因,今天就讲到这儿了,下一讲接着讲密码安全。

若文章难度大、有谬误,或有良好的意见或意愿,请及时评论跟我沟通。还有我这讲座不会每天一篇,主要根据闲暇时间来定,但基本上能保证每周至少一篇,希望大家理解。

另外感谢朋友们的打赏,虽然既然选择给老百姓讲,就没看重钱,但这种认可很让我心满意足,也是我写下去的动力,谢谢!

作者:Monyer,微博:http://weibo.com/monyer

游侠安全网(www.youxia.org)专注于信息安全、网络安全业界资讯和发展趋势。您可以关注我们的微信公众平台帐号 youxia-org (也可长按下面的二维码然后选择“识别图中二维码”)。谢谢!

联系站长租广告位!

中国首席信息安全官
Copy link