注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

简约男人

简约,不能简单

 
 
 

日志

 
 
关于我

一个过分渴望被理解的人其实就是一个软弱的人, 勇往直前的力量来自斩钉截铁的决心,不是来自别人的理解.

网易考拉推荐

你的密码是这样被泄漏的  

2014-10-20 14:36:52|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
1、密码过于简单,被列举法直接猜中。
这个不解释,不懂得自行搜索“暴力破解”进行脑补。
2、密码被键盘记录木马、截屏木马记录。
这就是盗号木马的原理。不解释,自行脑补。
3、密码的明文在传输过程中被抓取。 
QQ消息在传输过程中是加密了的,但是有很多局域网聊天工具不一定是加密了的,还有一些企业内部即时通讯工具不一定是加密了的。明文发送时抓抓网络包直接截取密码。有些网站提交的密码是明文发送的。
4、密码的秘文在传输过程中被抓取并被破解。 
这个就是加密强度不够,被破解了。
5、密码的明文在内存中被抓取。 
只要输入密码,那么密码都会以明文的形式在内存中出现。盗号病毒可以注入到需要输入密码的应用中直接将密码取走。这就是支付宝、网银等需要安全控件的原因。安全控件采用一定的手段使得不能被注入,或者注入后取到的密码不对。对于密码管理软件也是一样的,密码需要输入然后加密存储,密码也需要解密然后显示;这些过程中都有泄露的风险。
6、密码的秘文在内存中被抓取并被破解。 
这个同上理,加密被破解而已。
7、密码在服务器上的数据中被黑客直接拖走。 
11年csdn 600万密码被泄露一事就是这种情形,这些密码中的明文密码就直接泄露了而密文没有。这里的密文是不可还原的,准确的说叫做信息摘要。通过某种算法将密码变换为定长的一段字符串,这段字符串叫信息摘要,可以理解为密码的特征码;这个变换过程的逆过程是不存在的,也就是不能从信息摘要获取原始信息。这就是如果忘记密码网站不能把旧密码告诉你的原因,因为网站也不知道你的密码,它只存储了信息摘要。现在的技术能保证不同的信息的摘要码不同,登录时比对的其实是信息摘要。
但是密码管理云就不能使用这种不可逆变换,因为你托管在密码管理云上的密码仍然需要查看使用。密码管理云只能采用可逆的变换算法,既然可逆,黑客就可能给逆向解密了。此外密码管理云不可避免需要在服务上进行解密操作,那么很有可能遇到上述第5条和第6条的风险。
8、服务器上的信息还遭受服务器管理员一时疏忽、玩忽职守、监守自盗等情况的威胁。

现今大规模密码泄露都是由原因7和8造成的,为了避免一损俱损的情况应该做到密码复杂、不同账户不同密码。这样一来密码记忆和使用都非常困难,必须要有一种安全的密码管理方案。
所谓安全的密码管方案要做到如下几点。
1、你的密码就握在你自己手中。
2、密码的存储隔绝任何网络,物理上的隔离。
3、存储密码的地方不会受到病毒的威胁。
4、密码要经过高强度加密。
5、存储密码的设备丢失后可以自毁。
通过上面的密码盗窃原因分析,密码管理云和单纯的密码管理软件是不安全的。唯有专用的密码管理硬件能做到这几点,幸运的是缘创派上有人发布了符合上述条件的项目个人账号密码安全管理器。只期望能够早日上市。
  评论这张
 
阅读(358)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017