文档搜索 > 关于密码的那些事儿-浅谈密码的设计与管理

关于密码的那些事儿-浅谈密码的设计与管理


 

2012年01月10日 
 

关于密码的那些事儿

--浅谈密码的设计与管理


Copyright@2011-2012    xidforme@gmail.com 

2  

提纲 

  • 背景
  • 密码的设计与管理
    • 个人的密码设计与管理
      • 主要步骤
      • 密码分级与设计
      • 一个算法例子
    • 网站对用户的密码管理
      • 限制输入弱口令
      • 不保存明文口令
      • 加密传输
      • 防探测
  • 相关思考
  • 结语

Copyright@2011-2012    xidforme@gmail.com 

3  

1.背景    

  • 1.1 2011年年底国内密码泄露大事记

    12月21日:CSDN 640万用户信息(账号、密码、邮箱)泄露:"蝴蝶效应"

    12月22日:多玩、梦幻西游、天涯、7K7K、人人网用户数据泄露

    12月24日:178、UUU9、网易土木在线沦陷

    12月25日:UUU9、178均被二度拖库;天涯泄露数据升至4000万

    12月25日:珍爱网526万账户信息泄露被证实

    12月26日:mysapce,ispeak泄露;178第3次被拖库

    12月27日:766、ys168、千脑网盘用户密码数据泄露

    12月28日:凡客20万,当当10万,卓越20万用户资料证实泄露 

    12月28日:太平洋电脑数据泄露,共293 0311用户数据泄露

    12月29日:DNSPod证实泄露,52PK泄露数据120万 

    ......

    "只要你使用了互联网,你就很难在此次泄露中幸免“ 
 
 
 


Copyright@2011-2012    xidforme@gmail.com 

4  

1.背景 

  • 1.2 密码泄露的影响
    • 从账号信息找到关联邮箱,破解邮箱密码.
    • 分析邮箱中重要邮件和资料:银行账单、网游账号、公司资料、个人照片.
    • 社会工程学搜索,明确关联的人物、公司,用于商业犯罪或病毒传播
    • 用于社会工程学攻击:制作钓鱼邮件、身份假冒.
    • 结果:账号曝光、使用同账户同密码的其它账号同时泄露;个人隐私、财产权、信誉受损;网络营销、病毒集团受益.
 

 


Copyright@2011-2012    xidforme@gmail.com 

5  

1.背景 

  • 1.2 密码泄露的影响--一个理想化的重现

Copyright@2011-2012    xidforme@gmail.com 

6  

1.背景 

  • 1.3 相关词汇解释
    • 身份认证
      • what you know:密码
      • what you have:银行卡
      • who your are:指纹
    • 双因子认证
    • 爆库、拖库、刷库、字典、社工库
      • 爆库:通过网站漏洞获取数据库地址,非法下载并破解,得到明文。
      • 拖库:从数据库非法导出数据。
      • 刷库:黑客入侵网站服务器后窃取用户数据库。
      • 口令字典:黑客搜集或设计的用户经常使用的密码集合。
      • 社工库:从网站用户泄露信息整理出来的海量数据库。

 


Copyright@2011-2012    xidforme@gmail.com 

7  

1.背景 

  • 1.3 相关词汇解释
    • 哈希算法:
      • Hash,又称“散列”,把任意长度的输入通过特定算法,变换成固定长度的输出。不同的输入可能会散列成相同的输出,而不可能从散列值来唯一的确定输入值。
    • 彩虹表技术
      • 彩虹哈希表:针对各种可能的密码字符组合预先计算出对应的哈希值,组合暴力法和查表法,用可以承受的时间和存储空间查找要破解的口令哈希对应的密码。
      • tables_xp_fast表11分钟内破解14位数字、字母 密码组合
      • 表越大越全,破解能力越强
      • 目前使用不同种哈希算法的彩虹表还在增长和优化中。
    • 网上有CMD5碰撞库,即从密码哈希后的值反查原文。

Copyright@2011-2012    xidforme@gmail.com 

8  

提纲 

  • 背景
  • 密码的设计与管理
    • 个人的密码设计与管理
      • 主要步骤
      • 密码分级与设计
      • 一个算法例子
      • 基于软件的密码生成与管理
      • 密码设计与管理原则
    • 网站对用户的密码管理
  • 相关思考
  • 结语

Copyright@2011-2012    xidforme@gmail.com 

9  

2.1个人的密码设计与管理 

  • 2.1.1 主要步骤
    • 对需要使用密码的服务进行安全需求的分级
    • 根据密码安全分级,设计相应的密码生成算法
    • 对多个密码进行管理
      • 进行某种规律的编码,全部用大脑记忆
      • 使用软件或硬件帮助记忆
      • 将复杂密码以隐语形式加密保存在本地和Google文档服务器
    • 密码的设计是为了解决弱口令(防止恶意猜解),密码管理是在一定程度上消除密码泄露。

 


Copyright@2011-2012    xidforme@gmail.com 

10  

2.1个人的密码设计与管理 

  • 2.1.2 密码分级与设计
    • 绝密级别
      • 银行密码、在线支付(网银、支付宝、paypal)涉及财产的账号
      • 不包含账户名、真实姓名或公司名称
      • 最少11位
      • 由大小写字母、数字、特殊字符两种以上组合
        • 位数下限是15,一个最复杂密码用了17位。
      • 尽量使用二次验证:绑定U盾、手机,从物理层防止盗用
      • 尽量三个月换一次

 


Copyright@2011-2012    xidforme@gmail.com 

11  

2.1个人的密码设计与管理 

  • 2.1.2 密码分级与设计
    • 机密级别
      • 工作邮箱,关系链账号(亲友同事最认可的账号)
      • 密保要防止社会工程学的破解
        • 使用乱码回答,截图加密保存到gmail
    • 秘密级别
      • 非工作邮箱、豆瓣、BBS、微博、知乎等类似账号
      • 密码最少8位,以抗穷举式的密码破解
    • 普通级别
      • 临时使用的网络账号
        • 为下载某附件而注册的论坛账号
      • 使用容易记忆的弱口令
      • 可以万年不换

 


Copyright@2011-2012    xidforme@gmail.com 

12  

2.1个人的密码设计与管理 

  • 2.1.3 一个"算法"例子
    • 取一个8字母的英文单词
      • 例如CONGRATS
    • 将首次出现的下述字母替换
      • i-!,a-@,s-5,u-1_1,S-$,A-4,I-1,E-3,o-0
      • CONGRATS变成 C0NGR4T$
    • 加上根据网站名生成的密文
      • 例如 根据 sina 的元音字母与辅音字母位置,得到一串字符
      • C0NGR4T$!2#4
    • 奇数位小写,偶数位大写
      • c0nGr4t$!2#4

 


Copyright@2011-2012    xidforme@gmail.com 

13  

2.1个人的密码设计与管理 

  • 2.1.3 一个"算法"例子
    • 根据网站名生成密文,可以有很多种变通
      • 取网站域名部分第1,3和末尾字符(不足以0代替)
      • 使用网站的宣传语
        • 天涯“全球华人网上家园”:Qqhrwsjy
    • 可以加入一句诗(网友的做法)
      • ppnn13%dkstFeb.1st :娉娉袅袅十三余,豆蔻梢头二月初
      • Tree_0f0=sprintf("2_Bird_ff0/a") :两个黄鹂鸣翠柳
      • csbt34.ydhl12s : 池上碧苔三四点,叶底黄鹂一两声
    • 优点:容易记忆,可控性强
    • 缺点:攻击者容易从多个网站的密码反推出算法

 


Copyright@2011-2012    xidforme@gmail.com 

14  

2.1个人的密码设计与管理 

  • 2.1.4 基于软件的密码生成与管理
    • 为不同的服务使用不同的随机密码,个人只需记住管理器的主密码
    • 本地密码管理器KeepPass:
      • 免费开源软件;绿色无需安装;支持高级加密标准(AES,Rijndael算法)和Two fish的加密算法;内置的密码生成器,可以方便地生成一些高复杂度的密码;支持多平台和密码数据同步:例如Linux、Mac、iPhone、Android等。
      • 类似的本地密码管理软件还有RoboForm。

Copyright@2011-2012    xidforme@gmail.com 

15  

2.1个人的密码设计与管理 

  • 2.1.4 基于软件的密码生成与管理
    • 基于网络的密码管理器LastPass:
      • 免费使用;提供生成随机密码的功能;提供多种多因素身份验证方法的支持,如USBkey,闪存盘、指纹识别设备;只需记住1个主密码,就可以登录所有的需账号的网站;跨平台、跨浏览器。
    • 国内提供密码管理比较有创意的 花密网站
      • 在本地浏览器根据用户输入的关键密码与代号计算出密码,这些信息不会在网络上传输。
    • 优点:密码复杂度高,只需记住主密码。
    • 缺点:把所有鸡蛋放在一个篮子里;万一忘记主密码会非常麻烦;保存密码的服务器容易成为黑客集中攻击的目标。

Copyright@2011-2012    xidforme@gmail.com 

16  

2.1个人的密码设计与管理 

  • 2.1.4 密码设计与管理的几大原则
    • 不使用常见的弱口令
      • 可以从泄露的众多密码中得到启示

Copyright@2011-2012    xidforme@gmail.com 

17  

2.1个人的密码设计与管理 

  • 2.1.4 密码设计与管理的几大原则
      • 不要使用同样用户名在不同网站注册,确保密码各不相同
      • 及时对操作系统进行安全查杀,防止被木马窃取密码
      • 防止社会工程学攻击:防止偷窥,警惕钓鱼网站,严禁把密码放在显眼的地方
      • 密码中不要使用任何社会工程学信息(家庭成员姓名、汽车牌照、电话号码、QQ号、生日、身份证号)
      • 查看密码强度的网站
        • http://howsecureismypassword.net
 
 
 
 
 
 

注:1,000,000,000,000,000 (one quadrillion) (1千万亿,或1千兆,或0.1京)


Copyright@2011-2012    xidforme@gmail.com 

18  

提纲 

  • 背景
  • 密码的设计与管理
    • 个人的密码设计与管理
    • 网站对用户的密码管理
      • 限制输入弱口令
      • 不保存明文口令
      • 加密传输
      • 防探测
      • 使用成熟的第三方账户管理机制
  • 相关思考
  • 结语

Copyright@2011-2012    xidforme@gmail.com 

19  

2.2网站对用户的密码管理 

  • 2.2.1 禁止用户使用弱口令
    • 内置黑名单:
      • Twitter口令黑名单
    • 通过正则表达式限制用户口令的长度,字符组合的复杂度
    • 需考虑用户体验度

Copyright@2011-2012    xidforme@gmail.com 

20  

2.2网站对用户的密码管理 

  • 2.2.2 不保存用户的明文密码
    • 保存进数据库的是口令不可逆的哈希加密结果
    • 推荐使用多重的sha512(sha512(pwd)+salt1)+salt2),从一定程度上增加彩虹表破解的难度。

Copyright@2011-2012    xidforme@gmail.com 

21  

2.2网站对用户的密码管理 

  • 2.2.2 不保存用户的明文密码
    • 目前互联网上存在4种存放密码的方式
      • 明文存放
      • 可逆加密存放
      • 不可逆加密存放:密码哈希值泄露,仍可通过彩虹表反查出来
      • 明文添加随机值后的不可逆加密
    • 12306.cn的服务器明文保存语音查询密码
    • CSDN、人人网是保存明文的;178、多玩未保存明文密码;新浪微博也可能保存明文。

Copyright@2011-2012    xidforme@gmail.com 

22  

2.2网站对用户的密码管理 

  • 2.2.3 根据服务的安全要求决定是否在浏览器中保存口令
    • 建议不在浏览器中保存用户口令明文或在cookie中保存与口令相关的字符串
    • 易被网页木马获取后进行离线破解;cookie可以伪造
    • 可在网站显眼位置提醒
    • 需考虑用户体验度

Copyright@2011-2012    xidforme@gmail.com 

23  

2.2网站对用户的密码管理 

  • 2.2.4 对口令进行加密传输
    • 使用专用的登录加密算法
      • 新浪微博登录,传输的口令与servertime及nonce有关
    • 使用https协议
    • 许多大型网站仍使用明文传输口令
 
 

网站 

方式 

Google.com 

https 加密传输 

微软live.com 

https 加密传输 

国内绝大部分网上银行 

https 加密传输 

网易邮箱,QQ邮箱/ ihep email  

https 加密传输 

weibo.com 

http客户端javascript加密传输 

renren.com 

http明文传输 

csdn.net 

http明文传输 

tianya.cn 

http明文传输


Copyright@2011-2012    xidforme@gmail.com 

24  

2.2网站对用户的密码管理 

  • 2.2.5 密码探测防护
    • 对可疑登录要求填写较严格的验证码CAPTCHA
      • 12306.cn的验证码机制比较差
    • 限制口令失败次数
      • 密码错误三次后禁止登录3小时
    • 需考虑用户体验度
  • 2.2.6 防止内部员工直接接触密码数据库
    • 开发团队不允许直接操作用户数据库
    • 通过安全接口来验证用户
    • 对操作者有审计记录

 


Copyright@2011-2012    xidforme@gmail.com 

25  

2.2网站对用户的密码管理 

  • 2.2.7 使用成熟的第三方账户管理机制
    • 用户不再需要自己维护和管理一个新账号
    • 中小网站的用户登录接入大平台的用户认证
    • 前提是大平台自身对密码的管理足够安全
    • OAuth,OpenID
      • OAuth是授权认证(用户能做什么)
      • OpenID是用户认证(用户是谁)
      • 国内一些网站混用了两种机制

Copyright@2011-2012    xidforme@gmail.com 

26  

2.2网站对用户的密码管理 

  • 2.2.8 其它不专用于密码管理防护的技术
  • 对网站数据库加密保护
  • 及时对网站进行漏洞检测
    • 检测后门和扫描注入漏洞
  • 对网站挂马实时监控
  • CSDN 公布密码泄露原因的第三方审计结果 的借鉴
    • 使用的开源CMS系统存在漏洞
    • 应用程序存在跨站脚本漏洞
    • 存在大量系统后台认证漏洞:弱口令及暴露的后台

 


Copyright@2011-2012    xidforme@gmail.com 

27  

提纲 

  • 背景
  • 密码的设计与管理
    • 个人的密码设计与管理
    • 网站对用户的密码管理
  • 相关思考
    • 对网站存储明文的猜测
    • 对网络实名制的思考
    • 开放思考
  • 结语

Copyright@2011-2012    xidforme@gmail.com 

28  

3.相关思考 

  • 3.1 对网站为什么存储明文的猜测
    • 应付互联网审查与监管
    • 系统开发前期为减少工作量而使用明文密码
    • 升级系统时为兼容考虑未解决明文问题
    • 收集用户隐私的需要
    • 程序员能力太差或太自信

Copyright@2011-2012    xidforme@gmail.com 

29  

3.相关思考 

  • 3.2 对网络实名制的思考
    • 唯一实行互联网实名制的韩国决定废除网络实名制
      • 韩国实名制:使用真实姓名和身份证号注册
      • 2011年7月、2011年11月两度泄露个人信息,涉及账户数1.2亿
      • 韩国互联网用户只有3800万人
      • 韩国政府决定分阶段废除因特网实名制
    • 大规模的密码泄露疑意在抵制网络实名制
      • 2009年底赛门铁克泄露用户明文密码,安全厂商开始只保存加密密码
      • 2011年年底泄露的大部分数据在2009年就在安全圈子中流传
    • 网站不保存像身份证号等能吸引黑客的重要信息,可减少由黑客引起的个人信息外泄

Copyright@2011-2012    xidforme@gmail.com 

30  

3.相关思考 

  • 3.3 开放思考
    • CSDN等大型网站的密码泄露事件之后,云储存的账号和资料的安全性是否会遭受更多的怀疑? 
       

 


Copyright@2011-2012    xidforme@gmail.com 

31  

4.结语 

  • 密码的设计与管理需要在安全与方便之间获取平衡点
    • 并非每个普通青年都能像某些“装逼青年”那样对每个账号生成复杂度够高又不重复的密码并使用各种匪夷所思的办法记住它们
  • 畅游网络世界,是密码为我们捍卫隐私,需要重视
    • 不能再用 123456789、5201314敷衍她
    • 需要重视她,保护她

 


Copyright@2011-2012    xidforme@gmail.com 

32  

4.结语 

  • 密码设计与管理的相关书籍或材料推荐
    • Perfect Password:selection,protection,authentication.
      • Amazon 评分 4星半
    • 密码设计讨论: security.stackexchange.com
    • 密码设计与管理讨论:zhihu.com
    • CSDN密码泄露的启示:coolshell.cn

设为首页 | 加入收藏 | 昂纲搜索

All Rights Reserved Powered by 文档下载网

Copyright © 2011
文档下载网内容来自网络,如有侵犯请和我们联系。tousu#anggang.com
返回顶部