日前,谷歌公开承认其产品G Suite存在低级安全漏洞。
G Suite管理控制台允许管理员为用户重置密码,然而该功能竟然以纯文本的形式明文存储用户的密码而非加密存储,如今该功能已被移除。
今年3月份,Facebook 也承认以明文形式存储了数亿 Facebook 账户和数百万 Instagram 账户的密码。去年,Twitter 和 GitHub 也通报了类似的安全漏洞。
1,低级安全漏洞:明文存储
低级安全漏洞有许多,网站参数过滤不严导致的跨站漏洞、设计缺陷导致的任意密码重置漏洞与任意支付漏洞、弱口令漏洞、明文存储密码漏洞等。
这其中弱口令漏洞与明文存储密码漏洞被公认为最“愚蠢”的漏洞。
“明文密码”(Cleartext Password),即传输或保存为明文的密码。具体是指保存密码或网络传送密码的时候,用的是没有隐藏、直接显示的明文字符,而不是经过加密后的密文。如密码为123,那么密文密码是***,明文密码则是123。
密码不能明文存储,这是最基本的安全常识,经验丰富的程序员都明白不能给黑客任何可趁之机,后者会带来隐私泄露的可怕后果。
用明文保存密码有很大的信息安全隐患。
一般数据库里还存有用户的姓名、手机号、用户名等信息,一旦数据库发生泄漏,再加上用户的明文密码,攻击者就可以用用户名和密码去其他网站尝试登陆(因为往往用户会将多个网站的密码根据习惯设成一样的),一旦登陆成功,就会造成更严重的后果。
因此,网站存储用户密码都必须进行加密,譬如张三注册账号时设定密码为“567122cdefe”,后台直接看不到这个密码,而是一串字符。
安全措施做足了,哪怕黑客入侵了网站数据库,也不会轻易破解密文从而得到真实的密码,因此明文存储历来为程序设计大忌。
2,常用的加密方式
MD5加密
MD5的典型应用是对一段Message(字节串)产生fingerprint(指纹),以防止被“篡改”。举个例子,你将一段话写在一个叫 readme.txt文件中,并对这个readme.txt产生一个MD5的值并记录在案,然后你可以传播这个文件给别人,别人如果修改了文件中的任何内容,你对这个文件重新计算MD5时就会发现(两个MD5值不相同)。如果再有一个第三方的认证机构,用MD5还可以防止文件作者的“抵赖”,这就是所谓的数字签名应用。
DES加密
DES设计中使用了分组密码设计的两个原则:混淆(confusion)和扩散(diffusion),其目的是抗击敌手对密码系统的统计分析。混淆是使密文的统计特性与密钥的取值之间的关系尽可能复杂化,以使密钥和明文以及密文之间的依赖性对密码分析者来说是无法利用的。扩散的作用就是将每一位明文的影响尽可能迅速地作用到较多的输出密文位中,以便在大量的密文中消除明文的统计结构,并且使每一位密钥的影响尽可能迅速地扩展到较多的密文位中,以防对密钥进行逐段破译。
RSA加密
它通常是先生成一对 RSA 密钥,其中之一是保密密钥,由用户保存;另一个为公开密钥,可对外公开,甚至可在网络服务器中注册。为提高保密强度,RSA密钥至少为500位长,一般推荐使用1024位。这就使加密的计算量很大。为减少计算量,在传送信息时,常采用传统加密方法与公开密钥加密方法相结合的方式,即信息采用改进的DES或IDEA密钥加密,然后使用RSA密钥加密对话密钥和信息摘要。对方收到信息后,用不同的密钥解密并可核对信息摘要。
3,黑客获取密码的常见手段
黑客在获知你密码之前,并没有主观把你当成他的目标,只是如同下海捞鱼一般把你捞到而已。常见的几种攻击利用形式有:拖库、撞库、暴力破解等。
拖库:黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”。
撞库:黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列密码组合后可以登录的用户。
暴力破解:黑客通过一定规则生成弱密码字典,在目标网站上不断的进行尝试性登录的行为。
黑客在获得你密码之前,已经主观上将你当成目标,并专门对你进行调查研究,制定特别的方案,采取特殊的手段或技巧来获得你的密码。常见的几种攻击利用形式有:针对性密码字典、密码找回、中木马、接触式社工等。
针对性密码字典:黑客通过各种手段获取用户的各种信息,包括但不限于:姓名、年龄、生日、出生地、身份证、手机号、电话号、邮箱、QQ号、网上其他账号或密码信息、居住地信息、家人或伴侣的相关信息,并对部分信息加以加工,譬如张三这个姓名的拼音zhangsan、首字母zs(Zs、ZS)、姓zhang、名san,身份证的前几位、后几位、中间几位等等。再进行两种或两种以上的排列组合生成字典,譬如zs19860101,再加上弱密码字典进行暴力破解或密码碰撞的方法。
密码找回:也是一个获取用户密码的重要方式。这些安全问题最大的问题不在于问题是什么,最大的问题在于答案是问题的答案,并且这个答案还是你一般不容易忘记的答案。举例说明:
问:123456
答:123456
—
问:1+2=?
答:3
—
问:我最喜欢的动物是啥?
答:猫(狗)
—
中木马:如果木马进来了,盗密码易如反掌。
接触式社工:所有社工均是利用人性弱点的进行网络诈骗,可以总结为:喜、怒、哀、惧、爱、恶、欲、贪、嗔、痴。
