作者:
核攻擊
·
2013/07/22 16:48
說到社工庫,現在很流行,資料也越來越龐大、詳細,其威脅程度日愈嚴重。
其中威脅最高的就屬密碼庫了,也是數量最大,影響範圍最廣的。
密碼庫主要來源就不說了,各種拖庫……
其中密碼形式主要分這幾種:
第一種是未加密的明文密碼,威脅程度最高。(不得不說這種儲存明文密碼的站點有多麼的二逼!更可悲的是這種站點有很多!!)
另一種是加密過的密碼密文,威脅程度視加密等級而定。
第三種是破譯成本很低的密碼密文,例如僅一次MD5,等低強度加密演算法,威脅程度最高。
其中無法破譯的密文,情況還好點,暫時沒什麼大的影響。
而明文和破譯成本很低的就不一樣了,用途就不說了吧,大家都懂。
本帖,討論,如何防禦此類攻擊,針對已洩露的明文密碼來講。
目前防禦手段大致有兩種:
1、使用一套自己的“抽象密碼記憶方案”,相當於一個自己的“密碼演算法”,一段只有自己知道是啥意思的字串,例如:nuyo0w,字串 WooYun 的變體,從一定程度上來講,使攻擊者不知所措,但對於高階駭客來講,還是有可能被猜出來密碼規律,最重要的一點,它還是明文!(更好一點的,將重要密碼和一般密碼演算法分開記憶)
缺點:增加記憶成本,如果多個密碼的話,最後會很混亂,而且無法防止高階駭客猜測。
2、非記憶密碼方案,即使用密碼生成器、密匙管理器之類的密碼處理工具,需要提供一個原始密碼及鹽,生成一個毫無規律的高強度“明文”密碼,即使某網站洩露了這個“明文”密碼,除了這個網站之外,駭客無法進行其他任何用途,更猜不出密碼規律,使社工庫完全失去存在的意義。
優點:程式演算法被破解也沒用,因為需要提供原始密匙或者鹽(保護好你的原始密匙不在任何地方出現),否則無法生成密文,強度極高!!!
缺點:易用性比較差,因為隨時都需要帶一個加密程式(做成網頁線上版可能好點),沒帶的話,沒法登陸賬戶。
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!