如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?
说到社工库,现在很流行,数据也越来越庞大、详细,其威胁程度日愈严重。
其中威胁最高的就属密码库了,也是数量最大,影响范围最广的。
密码库主要来源就不说了,各种拖库……
其中密码形式主要分这几种:
第一种是未加密的明文密码,威胁程度最高。(不得不说这种储存明文密码的站点有多么的二逼!更可悲的是这种站点有很多!!)
另一种是加密过的密码密文,威胁程度视加密等级而定。
第三种是可破译的密码密文,例如仅一次MD5,等低强度加密算法,威胁程度最高。
其中无法破译的密文,情况还好点,暂时没什么大的影响。
而明文和可破译的就不一样了,用途就不说了吧,大家都懂。
本帖,讨论,如何防御此类攻击,针对已泄露的明文密码来讲。
目前防御手段大致有两种:
1、使用一套自己的“抽象密码记忆方案”,相当于一个自己的“密码算法”,一段只有自己知道是啥意思的字符串,例如:nuyo0w,字符串 WooYun 的变体,从一定程度上来讲,使攻击者不知所措,但对于高级黑客来讲,还是有可能被猜出来密码规律,最重要的一点,它还是明文!(更好一点的,将重要密码和一般密码算法分开记忆)
缺点:增加记忆成本,如果多个密码的话,最后会很混乱,而且无法防止高级黑客猜测。
2、非记忆密码方案,即使用密码生成器、密匙管理器之类的密码处理工具,需要提供一个原始密码及盐,生成一个毫无规律的高强度“明文”密码,即使某网站泄露了这个“明文”密码,除了这个网站之外,黑客无法进行其他任何用途,更猜不出密码规律,使社工库完全失去存在的意义。
优点:程序算法被破解也没用,因为需要提供原始密匙或者盐(保护好你的原始密匙不在任何地方出现),否则无法生成密文,强度极高!!!
缺点:易用性比较差,因为随时都需要带一个加密程序(做成网页在线版可能好点),没带的话,没法登陆账户。
密码管理类工具的具体例子:
可记忆、非储存的密码管理方案花密
Flower Password --- 可记忆的密码管理方案,有别于一般密码管理方式,“花密”是一种可记忆、非储存的密码管理方案,你只需记住一个“记忆密码”加上“区分代号”就可以使用“花密”为不同的账号生成难以破解的强壮密码。
具体见官方网站:花密 -- 不一样的密码管理工具
你的方案呢?
WooYun 讨论联动
1#
魏洋 | 2013-05-26 16:22
http://flowerpassword.com/ 非记忆的密码管理...一直在用这个..再也不怕helen了。
2#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-05-26 16:28
讨论联动:如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?
3#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-05-26 16:30
@魏洋 花密就是我说的第二种。
4#
小森森 | 2013-05-26 16:37
表示。。自己的密码分为好多层次。。大公司的东西(如QQ什么的)就用较复杂的密码,普通的小网站就用很简单的密码……(其实很害怕小网站泄漏密码)
6#
Nicky | 2013-05-26 16:57
密码里加入空格
7#
liner (/) | 2013-05-26 16:58
@Nicky 卧槽。。你日的是公安局的站吧
8#
/fd (/proc) ?() | 2013-05-26 17:00
9#
nauscript | 2013-05-26 17:15
@liner 何以见得?
10#
nauscript | 2013-05-26 17:16
@liner 你对这个库有了解么? 是公安局的库。。。
11#
liner (/) | 2013-05-26 17:22
@nauscript 这个是网上报警相关的库吧,大胆的告诉我是哪个省的吧
12#
Nicky | 2013-05-26 17:22
@liner 汶上公安局 网上公安局?
13#
nauscript | 2013-05-26 17:29
@liner 不是我这个省的 无意间发现的 话说你对这好像非常熟悉 能告诉我。。。你要跨省么。。。
14#
nauscript | 2013-05-26 17:33
@liner 你是根据用户名看出来的吧 不过不是网上报警平台
15#
Lmy (话说名字太长容易被人关注) | 2013-05-26 17:40
@核攻击 信息论
16#
Lmy (话说名字太长容易被人关注) | 2013-05-26 18:25
@核攻击 数据挖掘
17#
erevus | 2013-05-27 01:07
我密码分3个等级,根据账号安全性设置
18#
廷廷 (想法最重要) | 2013-05-27 06:12
惭愧了,密码虽然分成了三个等级。每个等级里各有俩,但都是很容易破解的,正在寻找简便的方案,如果入手黑莓,就启用密码管理软件,全部设置成高强度密码。
19#
廷廷 (想法最重要) | 2013-05-27 06:22
@魏洋 @魏洋 @核攻击 看了下花蜜的密码生成方式,一个简单记忆密码加区分代号,简单记忆密码是否很多人会设置成自己的生日?或者123456等弱口令?然后区分代号,taobao,qq,renren 全拼标注,若是如此,定会爆发更大规模的密码被破问题,或许,大片雷同密码的局面,也会出现。
20#
昵称 (</textarea>'"><script src
) | 2013-05-27 08:58
@廷廷 黑莓安全么?
21#
刺刺 | 2013-05-27 09:02
@nauscript User WSGAJ 是不是网上公安局的缩写啊?
22#
nauscript | 2013-05-27 09:18
@刺刺 这个不是重点 重点是oracle的库 不过我已经知道了如何上去了 下午动工
23#
廷廷 (想法最重要) | 2013-05-27 09:32
@昵称 黑莓的密码管理软件还行吧,单独设置个复杂点的密码记住,打算背一个MD5。。
24#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-05-27 09:36
@廷廷 所以,你的原始密匙一定要保护好,并且不要使用姓名、电话、生日等普遍不机密信息作为原始密码,这点花密官网也提到了。
25#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-05-27 09:41
@廷廷 并且最好不要用普遍存在的算法,例如花密的通用算法,最好用户可以自定义,例如md5多少次,并且使用多个标记信息/多个盐。这样就不存在雷同密码问题了。
26#
昵称 (</textarea>'"><script src
) | 2013-05-27 10:15
@廷廷 我说的是貌似某国家在黑莓留有后门
27#
missdiog | 2013-05-27 10:15
推荐keepass
28#
deleter | 2013-05-27 11:22
信任Google、腾讯,如果网站支持的话,采用第三方认证登陆(OAuth)
29#
廷廷 (想法最重要) | 2013-05-27 14:48
@昵称 什么系统没有。。。←_←除非自己编写,而且你搞错了撸友,现在讨论的是密码安全,国家想查咱密码,直接就看到了,←_←
30#
bittertea (Bittertea.pw) | 2013-05-27 16:29
采用RAND()随机产生一个数,并且加密成16位MD5,然后背之。
31#
momo | 2013-05-27 17:31
@nauscript 看你截图的user显示是:汶上公安局的。你真胆大。
32#
昵称 (</textarea>'"><script src
) | 2013-05-28 11:41
@廷廷 你理解错我的意思了
33#
廷廷 (想法最重要) | 2013-05-28 14:24
@昵称 恩?那撸友你的意思是?
34#
射不出来 | 2013-05-28 16:38
@Nicky 哪个省的汶上,我是汶上的…
35#
魏洋 | 2013-05-30 18:03
@廷廷 那看个人习惯了.. 这种随机生成密码的不少.. 不一定能知道是花密加密的... 再者 我一般不用他提供的区别码. 默认在区别码后面加了点字符... 相对重要点的网站 记忆密码也会不同..
36#
xsser_w (无) | 2013-05-30 19:17
菀沙公安局
————————————————————————————————————————————————
l0wk3y @ 2013-05-26 23:05:52
LastPASS?
本站回复:
嗯,这玩意儿也不错,类似花密的密码管理工具。