如何抵御社工库类的黑客攻击?在明文密码已泄露的情况下保护自己?

核攻击 2013-07-22 16:48:00

说到社工库,现在很流行,数据也越来越庞大、详细,其威胁程度日愈严重。

其中威胁最高的就属密码库了,也是数量最大,影响范围最广的。

密码库主要来源就不说了,各种拖库……

其中密码形式主要分这几种:

第一种是未加密的明文密码,威胁程度最高。(不得不说这种储存明文密码的站点有多么的二逼!更可悲的是这种站点有很多!!)

另一种是加密过的密码密文,威胁程度视加密等级而定。

第三种是破译成本很低的密码密文,例如仅一次MD5,等低强度加密算法,威胁程度最高。

其中无法破译的密文,情况还好点,暂时没什么大的影响。

而明文和破译成本很低的就不一样了,用途就不说了吧,大家都懂。

本帖,讨论,如何防御此类攻击,针对已泄露的明文密码来讲。

目前防御手段大致有两种:

1、使用一套自己的“抽象密码记忆方案”,相当于一个自己的“密码算法”,一段只有自己知道是啥意思的字符串,例如:nuyo0w,字符串 WooYun 的变体,从一定程度上来讲,使攻击者不知所措,但对于高级黑客来讲,还是有可能被猜出来密码规律,最重要的一点,它还是明文!(更好一点的,将重要密码和一般密码算法分开记忆)

缺点:增加记忆成本,如果多个密码的话,最后会很混乱,而且无法防止高级黑客猜测。

2、非记忆密码方案,即使用密码生成器、密匙管理器之类的密码处理工具,需要提供一个原始密码及盐,生成一个毫无规律的高强度“明文”密码,即使某网站泄露了这个“明文”密码,除了这个网站之外,黑客无法进行其他任何用途,更猜不出密码规律,使社工库完全失去存在的意义。

优点:程序算法被破解也没用,因为需要提供原始密匙或者盐(保护好你的原始密匙不在任何地方出现),否则无法生成密文,强度极高!!!

缺点:易用性比较差,因为随时都需要带一个加密程序(做成网页在线版可能好点),没带的话,没法登陆账户。

评论

戏子_AINI 2013-07-22 22:38:57

前排沙发出租 有意者联系电话110 免长途

园长 2013-07-23 02:09:59

核老大,顶。密码确实不处理,根本原因一个在于用户喜欢用弱口令,另一个是网站的安全做的不行纯MD5应该被淘汰了。。

有妹子送上 2013-07-23 07:40:29

学习了。

《天空》-sky 2015-12-27 12:06:53

学习了。

核攻击

统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!

twitter weibo github wechat

随机分类

Java安全 文章:34 篇
网络协议 文章:18 篇
SQL注入 文章:39 篇
逆向安全 文章:70 篇
数据安全 文章:29 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录