个人信息安全基本知识精品.docVIP

我们的个人信息安全吗 信息泄露途径 我们个人信息安全的对手 国际级对手：国徽事件、棱镜门、大使馆白盒子启示录 橙色方框标明大使馆白盒子，疑似监控装置美国驻北京大使馆美国驻莫斯科大使馆 美国驻马德里大使馆 第二章 密码—信息安全的大门 一、生活中的密码体系模型 密码的作用就是将用户分两类：一类是允许进入某系统的人，另一类是不允许进入某系统的人。二者的特征是：前一种人拥有某种认证标志（即密码本身），后一种则没有，系统则只认可该标志，而不认可具体的人。 二、常见的认证系统破解方式 图 密码认证系统 一套密码认证系统由认证模块、系统功能模块、数据库3个部分组成。 1、认证模块：负责接收用户输入的密码，对用户输入密码进行加密或者对数据库中事先保存的密码进行解密，然后将二者进行比较，如果一致则通过认证，用户“通过”认证系统进入系统功能模块。 2、数据库：是一个广义的“数据库”，只要能保存密码都可以称为数据库。——小到程序中一个变量，中到一个配置文件，大到专业数据库中的一条记录。 3、系统功能模块：是与认证系统直接相关的，通过认证可以使用，不通过认证无法使用的模块。之所以将系统功能模块归为认证系统的一部分，是因为很多系统功能模块是密码本身进行加密的。 绕过式破解法 绕过式破解密码原理非常简单，其实就是绕过密码的整个认证机制。 1、万能密码 在不知道实际密码的情况下，可以直接通过万能密码进入系统。 Aword BIOS 通用密码：j256、LKWPPETER、wantgirl、Ebbb、Syxz、aLLy、AWRD?SW、AWRD_SW、j262、HLT、SER、SKY_FOX、BIOSTAR 等等。 AMI BIOS 通用密码：AMI、BIOS、PASSWORD、HEWITT RAND、AMI_SW、LKWPETER、A.M.I 上述数据来自网友的总结，并且多出现在一些较旧（5年前）的主板上，在新式主板上不一定有效。 2、缺少session（会话）的网页 正常情况下，凡是需要认证的网页在用户认证成功时，都会获得一个session，之后的网页凭借着当前用户有没有session就能知道他之前有没有通过认证。没有通过认证的用户，将看到“当前页面已过期”；通过认证过的用户，则可以进行之后的各项操作。 然而，很多网站在制作时，会因为缺少session机制而导致用户只要很据URL就可以访问所有网页，就像一个有门的锁却没有院墙的院子，其门锁的作用被直接绕过，其安全性也不言而喻。（例如：人人网） 修改式破解法 一套加密系统中，未加密的内容称为“明文”( Plain text)，而加密以后的内容称为“密文”(Cipher text)。在密码系统中，系统保存的是密文，每当有用户登录时，系统会把用户输入的“明文”进行加密，然后与保存的密文进行比较，进而判断用户是否是合法用户。但如果未使用加密系统，则这时的明文和密文是一样的。 从破解密码的角度，如果能看到明文密码，则意味着破解成功。密码的保存有可能使用明文吗？当然不可能。现在的系统，除非系统设计人员想使用任何人的密码，否则几乎所有密码都会以加密的方式保存。既然系统数据都是加密的，那就只能强制修改密码了。 1．清空式 所谓清空式就是把密码区的密码清空。这种办法在通常情况下是有效的，特别是对于密码加密算法，是按位加密的。在这些算法中，空密码加密后仍然为空。 如果能将一个管理员的密码设置为空，可能意味着可以使用空密码进入系统，然后借助管理员功能设置新的密码。 2．替换式 清空式方法简单，但有一定的局限住。例如，有的系统在登录时明确规定密码不能为空，这时该怎么办？其实，可以使用替换法。替换法就是用已知原密码的加密信息覆盖未知原密码的加密信息，从而将未知密码设置为已知密码。 各职能部分之间衔接上的漏洞破解法 1、破坏式 有些系统设计时，出于各种原因，会设计多个安全环节。这些环节之间互不通信，最终导致其相互矛盾，甚至有可能修改其中一个环节会导致另一个环节被整体破坏。 2、注入式 注入式攻击主要利用系统中某一模块或组件的设计约定、语法约定等特点，采用组成新的合法设计、合法语法获得新的解释的方法来进行攻击。由于新的解释中有一部分内容根本不是程序设计者的原意，而是攻击者在原意的基础上“注入”的，所以称之为注入式攻击。（当前最流行的注入攻击是SQL注入式攻击） 嗅探式 嗅探式密码破解，就是通过网络监听程序监听网络上带有密码的数据包，然后从数据包中找到密码。该技术虽然是黑客常用手法之一，但是其原理和应用对密码系统破坏较大，而与密码算法“破解”的关系不大。（详见7.1.3） 暴力破解（穷举式） 所谓暴力破解，并不是指破解方式多么粗暴而是指这种方式采用的是最原始、最粗犷的方式。通俗来说，就是一个一个地尝试密码，直到