说到社工库,现在很流行,数据也越来越庞大、详细,其威胁程度日愈严重。

其中威胁最高的就属密码库了,也是数量最大,影响范围最广的。

密码库主要来源就不说了,各种拖库……

其中密码形式主要分这几种:

第一种是未加密的明文密码,威胁程度最高。(不得不说这种储存明文密码的站点有多么的二逼!更可悲的是这种站点有很多!!)

另一种是加密过的密码密文,威胁程度视加密等级而定。

第三种是可破译的密码密文,例如仅一次MD5,等低强度加密算法,威胁程度最高。

其中无法破译的密文,情况还好点,暂时没什么大的影响。

而明文和可破译的就不一样了,用途就不说了吧,大家都懂。

本帖,讨论,如何防御此类攻击,针对已泄露的明文密码来讲。

目前防御手段大致有两种:

1、使用一套自己的“抽象密码记忆方案”,相当于一个自己的“密码算法”,一段只有自己知道是啥意思的字符串,例如:nuyo0w,字符串 WooYun 的变体,从一定程度上来讲,使攻击者不知所措,但对于高级黑客来讲,还是有可能被猜出来密码规律,最重要的一点,它还是明文!(更好一点的,将重要密码和一般密码算法分开记忆)

缺点:增加记忆成本,如果多个密码的话,最后会很混乱,而且无法防止高级黑客猜测。

2、非记忆密码方案,即使用密码生成器、密匙管理器之类的密码处理工具,需要提供一个原始密码及盐,生成一个毫无规律的高强度“明文”密码,即使某网站泄露了这个“明文”密码,除了这个网站之外,黑客无法进行其他任何用途,更猜不出密码规律,使社工库完全失去存在的意义。

优点:程序算法被破解也没用,因为需要提供原始密匙或者盐(保护好你的原始密匙不在任何地方出现),否则无法生成密文,强度极高!!!

缺点:易用性比较差,因为随时都需要带一个加密程序(做成网页在线版可能好点),没带的话,没法登陆账户。

密码管理类工具的具体例子:

可记忆、非储存的密码管理方案花密

Flower Password --- 可记忆的密码管理方案,有别于一般密码管理方式,“花密”是一种可记忆、非储存的密码管理方案,你只需记住一个“记忆密码”加上“区分代号”就可以使用“花密”为不同的账号生成难以破解的强壮密码。

具体见官方网站:花密 -- 不一样的密码管理工具
你的方案呢?

WooYun 讨论联动

1#

魏洋 | 2013-05-26 16:22

http://flowerpassword.com/ 非记忆的密码管理...一直在用这个..再也不怕helen了。

2#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-05-26 16:28

讨论联动:如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?

3#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-05-26 16:30

@魏洋 花密就是我说的第二种。

4#

小森森 | 2013-05-26 16:37

表示。。自己的密码分为好多层次。。大公司的东西(如QQ什么的)就用较复杂的密码,普通的小网站就用很简单的密码……(其实很害怕小网站泄漏密码)

6#

Nicky | 2013-05-26 16:57

密码里加入空格

7#

liner (/) | 2013-05-26 16:58

@Nicky 卧槽。。你日的是公安局的站吧

8#

/fd (/proc) ?() | 2013-05-26 17:00

9#

nauscript | 2013-05-26 17:15

@liner 何以见得?

10#

nauscript | 2013-05-26 17:16

@liner 你对这个库有了解么? 是公安局的库。。。

11#

liner (/) | 2013-05-26 17:22

@nauscript 这个是网上报警相关的库吧,大胆的告诉我是哪个省的吧

12#

Nicky | 2013-05-26 17:22

@liner 汶上公安局 网上公安局?

13#

nauscript | 2013-05-26 17:29

@liner 不是我这个省的 无意间发现的 话说你对这好像非常熟悉 能告诉我。。。你要跨省么。。。

14#

nauscript | 2013-05-26 17:33

@liner 你是根据用户名看出来的吧 不过不是网上报警平台

15#

Lmy (话说名字太长容易被人关注) | 2013-05-26 17:40

@核攻击 信息论

16#

Lmy (话说名字太长容易被人关注) | 2013-05-26 18:25

@核攻击 数据挖掘

17#

erevus | 2013-05-27 01:07

我密码分3个等级,根据账号安全性设置

18#

廷廷 (想法最重要) | 2013-05-27 06:12

惭愧了,密码虽然分成了三个等级。每个等级里各有俩,但都是很容易破解的,正在寻找简便的方案,如果入手黑莓,就启用密码管理软件,全部设置成高强度密码。

19#

廷廷 (想法最重要) | 2013-05-27 06:22

@魏洋 @魏洋 @核攻击 看了下花蜜的密码生成方式,一个简单记忆密码加区分代号,简单记忆密码是否很多人会设置成自己的生日?或者123456等弱口令?然后区分代号,taobao,qq,renren 全拼标注,若是如此,定会爆发更大规模的密码被破问题,或许,大片雷同密码的局面,也会出现。

20#

昵称 (</textarea>'"><script src) | 2013-05-27 08:58

@廷廷 黑莓安全么?

21#

刺刺 | 2013-05-27 09:02

@nauscript User WSGAJ 是不是网上公安局的缩写啊?

22#

nauscript | 2013-05-27 09:18

@刺刺 这个不是重点 重点是oracle的库 不过我已经知道了如何上去了 下午动工

23#

廷廷 (想法最重要) | 2013-05-27 09:32

@昵称 黑莓的密码管理软件还行吧,单独设置个复杂点的密码记住,打算背一个MD5。。

24#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-05-27 09:36

@廷廷 所以,你的原始密匙一定要保护好,并且不要使用姓名、电话、生日等普遍不机密信息作为原始密码,这点花密官网也提到了。

25#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-05-27 09:41

@廷廷 并且最好不要用普遍存在的算法,例如花密的通用算法,最好用户可以自定义,例如md5多少次,并且使用多个标记信息/多个盐。这样就不存在雷同密码问题了。

26#

昵称 (</textarea>'"><script src) | 2013-05-27 10:15

@廷廷 我说的是貌似某国家在黑莓留有后门

27#

missdiog | 2013-05-27 10:15

推荐keepass

28#

deleter | 2013-05-27 11:22

信任Google、腾讯,如果网站支持的话,采用第三方认证登陆(OAuth)

29#

廷廷 (想法最重要) | 2013-05-27 14:48

@昵称 什么系统没有。。。←_←除非自己编写,而且你搞错了撸友,现在讨论的是密码安全,国家想查咱密码,直接就看到了,←_←

30#

bittertea (Bittertea.pw) | 2013-05-27 16:29

采用RAND()随机产生一个数,并且加密成16位MD5,然后背之。

31#

momo | 2013-05-27 17:31

@nauscript 看你截图的user显示是:汶上公安局的。你真胆大。

32#

昵称 (</textarea>'"><script src) | 2013-05-28 11:41

@廷廷 你理解错我的意思了

33#

廷廷 (想法最重要) | 2013-05-28 14:24

@昵称 恩?那撸友你的意思是?

34#

射不出来 | 2013-05-28 16:38

@Nicky 哪个省的汶上,我是汶上的…

35#

魏洋 | 2013-05-30 18:03

@廷廷 那看个人习惯了.. 这种随机生成密码的不少.. 不一定能知道是花密加密的... 再者 我一般不用他提供的区别码. 默认在区别码后面加了点字符... 相对重要点的网站 记忆密码也会不同..

36#

xsser_w (无) | 2013-05-30 19:17

菀沙公安局

————————————————————————————————————————————————

l0wk3y @ 2013-05-26 23:05:52

LastPASS?

本站回复:

嗯,这玩意儿也不错,类似花密的密码管理工具。