许多网站都有用户系统,用户系统有密码存储,通常,密码是加密传输,为了安全,通常是单向散列加密,或不可逆加密,一个简单的判断是,你通过密码恢复功能操作,如果让你重新设置密码,基本上是不可逆加密,直接给你密码,是明确或可逆加密,这是非常危险的。
用户系统面临的风险一般包括
1:弱口令扫描
2:注入
3:侦听
4:爆库
5:社工库扫描
此外XSS蠕虫或其他溢出神马的,仅限于篇幅,这里就不多提了。
目前,玩弱密码扫描较少,因为投入产出不经济,注入是另一个话题,本文没有提到,调查特别强调,不仅存储注意安全,在传输和用户输入安全过程中也非常关键,这也是类似支付宝、银行网关等产品往往需要安全控制,作为常规网站往往拒绝影响用户体验,在用户体验第一的环境中,https它通常不被主流网站采用。一个简单的方法是在登录后生成一个临时密码作为当前用户的权限识别标记。这个临时密码将在会话结束后过期。这一优点是临时密码基本上不担心被调查(除非是实时捕获和实时操作),而登录过程只有一次,认证过程多次,因此被调查的概率要小得多。此外,前端js加密也很有用,有些人从“技术”反驳,我认识你js加密方法,我很容易破解你,你的加密有什么用?但我希望你有一个概念,在很多情况下,玩侦听的人不是针对你的网站,通常不是很专业,也许网吧看到了一个黑客教程,下载了一个sniffer开始玩小p孩,设置的这些门槛,并不是针对那些盯着你非搞你不可的家伙,而能过滤掉这些无聊的过路黑客,对你的用户来说,也是很有意义的事情。在成本较低,而你的网站知名度也不是很高的情况下,这些技术上看上去并不特别靠谱的事情还是可以大幅度提高你的安全性。记住一点,很多黑客并没有明确的针对性,喜欢网上撒网,然后看到有意思的东西再去搞,你不能让他看到一眼就觉得你的东西很好搞。
本文的重点是爆库。tombkeeper据老板介绍,中国三分之二有影响力的网站已经爆炸。不要认为你的网站安全。防爆库是安全结构中非常重要的一点。防爆库不仅是为了防止别人拿到你的库,也是为了制定最坏的计划。别人拿到会怎么样;密码明文存储,100%死亡,可逆加密,只要黑客使用零食,也死亡。不可逆转的是,许多工程师认为他们可以放松,但这是碰撞库的范畴;类似cmd5.com这种碰撞库的规模远远超过了早期的字典档,所以常规,比如md5或者mysqlpassword加密密码在碰撞库中被破解的概率超过95%。至少,我认为我经常使用的密码与库中碰撞。原因很简单。我不记得没有碰撞库中的密码了。那么如何避免这种行为呢?增加加密强度?例如,两次md5?3次md5?固定salt2次md5?看来库里没有碰撞,安全吗?不是吗?!只要你的加密算法是固定的,黑客就能掌握(比如固定的)salt黑客知道),所以黑客运行常规密码文件非常快,在这种情况下,你的用户库账户越多,黑客投入产出比就越有价值,尽管没有cmd5如此庞大的碰撞库,也值得每天运行数千万甚至数亿常用密码的碰撞库来处理您的数据库。这种破解率很容易达到60%。一些朋友在微博反馈中说,70%可能是这种类型。低成本的安全策略是随机的salt为什么二次加密?discuz使用这种方法是有原因的,因为这个开源软件不能关闭你的加密方法,你必须让系统打开开源,密码不会破解(或门槛太高,投入产出不合理),有些人说随机salt黑客会看到这是不安全的;这种观点的误解是,黑客仍然被视为特定账户的行为,而不考虑黑客的真实生活环境和随机性salt(每个密码都是独立的salt)对于只破解单个账户和固定账户的意义salt没有区别,但对于破解庞大的用户数据库,固定salt黑客只需要跑碰撞库,随机salt每个密码都需要跑一个碰撞库,这个计算成本。。。在这种情况下,你说实话,黑客一个个salt跑,也可以跑出60%的密码,但是,绝大多数黑客,遇到这种情况,都会放弃,因为,不值得这样的投资。
不幸的是,中国有太多、太多、太多的知名网站,没有足够的保护用户密码,所以太多的网站一旦爆炸将泄露绝大多数用户密码,如最近的谣言人人网络和快乐网络,虽然不能完全确认,但从谣言的角度来看,显然是破碎的7788。记住,爆炸并不意味着密码泄露,爆炸 加密方法不正确是密码泄露!
此外,虽然中国山东大学的王小云教授震惊了世界,但逆向md5这仍然是一件不现实的事情,更不用说它很简单,没有黑客会滥用计算能力,除非是政府机构,对于特定的目标,你的账户,通常不值得这样做,除非你是一个屏蔽词。
社工库扫描在爆库泛滥、密码破解率高的情况下非常流行。简单来说,你在几个网站上使用了同样的账号和密码,其中一个是爆库,密码泄露了,你的账号和密码进入了社工库。这个库现在很大,有上亿的记录。caoz记录也在里面。如果圈子里的朋友没有提醒我,我就不知道我被招了。因为一个著名的站长社区被炸毁,我在百度passport密码泄漏。这就是社工库的力量!经验丰富的黑客用社工库扫描名网站,输入社工库的账号和密码,看能否匹配成功。这个成功率比弱密码扫描高出一个以上的数量级,这也是弱密码扫描不再流行的原因。!最近微博上经常发生盗号事件,据查也是社工库扫描造成的。我们的网站和很多朋友的网站也遇到了社工库扫描。有朋友,比如徐,认为黑客效果太小,毫无意义。他犯了一个错误。黑客不是一个一个手工尝试,而是用大量的数据批量扫描,成本很低,操作规模大。甚至很多被招的人都只是黑客。“搂草打兔子”的附带品,这是一种没有成本的战利品。只要黑客抓住一个大的,他们就会赚钱。许多无辜的人被过马路偷走了。目前,除了验证码,没有什么好办法防止社会工作室扫描,但验证码是另一个“伤害用户体验"所以最近新浪的行为,BT验证码经常被骂,真的很无奈。
【编辑推荐】