是安天實驗室針對當前拖庫等安全威脅釋出的一套安全演算法應用範例，適用於中小規模的BBS、SNS、留言板、網頁遊戲等常見的Web應用，以及其它可能透過網頁進行使用者註冊、認證與密碼管理的網站應用場景。APM面向Web應用的規劃、開發和維護者，可以解決Web後臺大多數身份認證和關鍵資訊加密儲存的需求。

APM基於GNU GPL v2協議開放原始碼，目前已經發布了Python、PHP和Ruby版。我們還為APM提供後續的更新和對應的支援服務。

APM的特色包括：

• 簡單，低代價的整合方案，能夠容易的整合到現有的企業環境中

• 可有效對抗 統計攻擊、普通暴力破解、GPU加速破解、基於雲端計算的破解

• 具備加密單向不可還原資料和支援解密明文資訊兩種使用模式

• 正確的經過嚴格程式碼審查的程式設計實現

分析

當前，攻守方面已經呈現極大地不平衡性，即使採用傳統的標準HASH演算法加密的站點，一旦資料庫失竊，其實已經等於90%以上的密碼洩露。為什麼會如此？

讓我們來看看，攻擊者擁有哪些資源：

• 已經洩露的，數以億計使用者的明文密碼。
• 體積以T計的彩虹表，已經覆蓋14位以下數字字母組合的密碼的MD5。
• 成本急劇降低的GPU加速和分散式計算資源
• 可以廉價獲取的合法超算資源、雲端計算資源
• 數量以十萬計的殭屍網路

儘管有這些前車之鑑，為什麼多數網站都無法自己解決好賬號密碼相關的加密問題呢？

• 企業很難聘到合格的懂安全的程式設計師。
• 網路流傳的解決方案 , 大部分是網友自己開發,缺少專業的設計和評估。
• 缺少專業的安全人才, 計算機科班的成才率很低。
• 普通依靠野蠻生長成才的技術牛人,因為缺少基礎的專業知識,常犯低階錯誤.很難正確的實現一個安全方案.不正確的實現提供了虛假的安全結果。虛假的安全危害更大。
• 大部分程式設計師不可能一直跟蹤最新的安全技術進展。

APM解決了哪些問題

一人一密、一站一密：對於使用了APM的網站來說，即使兩個使用者密碼相同，其加密的結果是不同的。對於使用了APM的不同網站來說，使用者使用完全相同的資訊和口令註冊，加密結果也是不同的。

高速低負載加密與驗證：一些網站不加密的原因是擔心加密相關處理消耗服務伺服器資源，影響使用者體驗，這是我們首先需要解決的。

抗暴力生成：由於APM*一人一密、一站一密的特點，採用暴力生成密文的方法，對每個站點都需要從頭開始。而如果合理的存放相關引數，在只獲取資料庫的情況下，僅憑Antiy Password Mixer的開原始碼，是無法構造有效生成器的。

抗查表攻擊：同上，由於APM使暴力生成的變得沒有意義，因此也沒有查表資源可以使用。

抗統計分析：對於那些使用自制HASH演算法，使用其他HASH演算法的站點來說，攻擊者亦無須破解，只要根據HASH值進行排序，然後與高頻密碼錶進行比對，就可以使大部分使用者的密碼處於不安全的狀況。但經過APM處理過的口令是空間均勻分佈的，完全沒有統計價值。

變成快羊：我們相信您聽過一句格言——狼只咬最慢的羊。APM並不能解決拖庫的問題，但APM讓拖庫的價值變得很小。無論如何，全球採用APM的站點都是少數，因此，當你的庫對攻擊者失去意義，他自然就會去尋找更慢的羊。

APM不能解決哪些問題及我們的建議

威脅	說明	建議
使用者端失密	使用者自身因中了木馬流失了密碼，或把密碼告訴其他人，錄入時被偷窺等等。	加強使用者安全知識普及。
釣魚網站	使用者登入了假冒的網站而被套走了密碼。	網站加強搜尋，以發現對自身釣魚的網站。
一號通	透過其他網站流出的使用者名稱和密碼來嘗試使用了APM的網站。	增加一個採用不同ID登陸失敗的頻度控制機制。提升探測難度。
通訊竊取	通訊過程的被工作者監聽、ICP被ARP欺騙監聽等等。	使用HTTPS代替HTTP做登陸驗證，但這樣會增加伺服器的負載。