关于密码的那些事儿浅谈密码的设计与管理新浪云计算.pptVIP

* 4.结语 密码的设计与管理需要在安全与方便之间获取平衡点 并非每个普通青年都能像某些“装逼青年”那样对每个账号生成复杂度够高又不重复的密码并使用各种匪夷所思的办法记住它们 畅游网络世界，是密码为我们捍卫隐私，需要重视 不能再用 123456789、5201314敷衍她 需要重视她，保护她 * 4.结语 密码设计与管理的相关书籍或材料推荐 Perfect Password:selection,protection,authentication. Amazon 评分 4星半 密码设计讨论: 密码设计与管理讨论： CSDN密码泄露的启示： * Copyright@2011-2012 xidforme@  2012年01月10日 关于密码的那些事儿 --浅谈密码的设计与管理 * 提纲 背景 密码的设计与管理 个人的密码设计与管理 主要步骤 密码分级与设计 一个“算法“例子 网站对用户的密码管理 限制输入弱口令 不保存明文口令 加密传输 防探测 相关思考 结语 * 1.背景 1.1 2011年年底国内密码泄露大事记 12月21日：CSDN 640万用户信息(账号、密码、邮箱)泄露:蝴蝶效应 12月22日：多玩、梦幻西游、天涯、7K7K、人人网用户数据泄露 12月24日：178、UUU9、网易土木在线沦陷 12月25日：UUU9、178均被二度拖库；天涯泄露数据升至4000万 12月25日：珍爱网526万账户信息泄露被证实 12月26日：mysapce,ispeak泄露；178第3次被拖库 12月27日：766、ys168、千脑网盘用户密码数据泄露 12月28日：凡客20万，当当10万，卓越20万用户资料证实泄露 12月28日：太平洋电脑数据泄露，共293 0311用户数据泄露 12月29日：DNSPod证实泄露,52PK泄露数据120万 ...... 只要你使用了互联网，你就很难在此次泄露中幸免“ * 1.背景 1.2 密码泄露的影响 从账号信息找到关联邮箱，破解邮箱密码. 分析邮箱中重要邮件和资料:银行账单、网游账号、公司资料、个人照片. 社会工程学搜索，明确关联的人物、公司,用于商业犯罪或病毒传播 用于社会工程学攻击：制作钓鱼邮件、身份假冒. 结果：账号曝光、使用同账户同密码的其它账号同时泄露；个人隐私、财产权、信誉受损；网络营销、病毒集团受益. * 1.背景 1.2 密码泄露的影响--一个理想化的重现 * 1.背景 1.3 相关词汇解释 身份认证 what you know:密码 what you have:银行卡 who your are:指纹 双因子认证 爆库、拖库、刷库、字典、社工库 爆库：通过网站漏洞获取数据库地址，非法下载并破解，得到明文。 拖库：从数据库非法导出数据。 刷库：黑客入侵网站服务器后窃取用户数据库。 口令字典：黑客搜集或设计的用户经常使用的密码集合。 社工库：从网站用户泄露信息整理出来的海量数据库。 * 1.背景 1.3 相关词汇解释 哈希算法： Hash，又称“散列”，把任意长度的输入通过特定算法，变换成固定长度的输出。不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。 彩虹表技术 彩虹哈希表:针对各种可能的密码字符组合预先计算出对应的哈希值，组合暴力法和查表法，用可以承受的时间和存储空间查找要破解的口令哈希对应的密码。 tables_xp_fast表11分钟内破解14位数字、字母 密码组合 表越大越全，破解能力越强 目前使用不同种哈希算法的彩虹表还在增长和优化中。 网上有CMD5碰撞库，即从密码哈希后的值反查原文。 * 提纲 背景 密码的设计与管理 个人的密码设计与管理 主要步骤 密码分级与设计 一个“算法“例子 基于软件的密码生成与管理 密码设计与管理原则 网站对用户的密码管理 相关思考 结语 * 2.1个人的密码设计与管理 2.1.1 主要步骤 对需要使用密码的服务进行安全需求的分级 根据密码安全分级，设计相应的密码生成“算法” 对多个密码进行管理 进行某种规律的编码，全部用大脑记忆 使用软件或硬件帮助记忆 将复杂密码以“隐语”形式加密保存在本地和Google文档服务器 密码的设计是为了解决弱口令(防止恶意猜解)，密码管理是在一定程度上消除密码泄露。 * 2.1个人的密码设计与管理 2.1.2 密码分级与设计 绝密级别 银行密码、在线支付(网银、支付宝、paypal）涉及财产的账号 不包含账户名、真实姓名或公司名称 最少11位 由大小写字母、数字、特殊字符两种以上组合 位数下限是15，一个最复杂密码用了17位。 尽量使用二次验证：绑定U盾、手机，从物理层防止盗用 尽量三个月换一次 *