WEB应用开发中的安全算法使用策略推荐.ppt

其它策略—常见口令规避 常态“一号通”检查 高频密码、已泄漏密码提示 动态均衡(亦有弊端) * 创造安全每一天 第*页 其它策略—运维 不要把鸡蛋放在一个篮子里 * 创造安全每一天 第*页 参考资料 演讲者关于密码相关策略的文章 /antiy_seak Antiy Password Mixer /p/password-mixer/ 关于GPU加速算法 /eng/egb.shtml * 创造安全每一天 第*页 联系方式 公司:安天科技股份有限公司 姓名:童志明 Mail:andy@ * 创造安全每一天 第*页 感谢大家的关注！ 过去的10余年，中国的Web应用甩开安全而飞速狂奔，开发者们凭借自身的勤奋和冲击力奠定了现有的格局，但也因快速地奔跑遗落了一些东西，比如安全。也许现在是拾起这些弃物的时间了。 我们站在安全工程师的实践经验角度，利用现有的流行开源包，完成了对RSA、HASH+SALT算法的一个外围封装，给出了网站开发者应用这些算法的相对合理的范例。当然，你也许鄙视会我们的代码，而希望自己去实现更精干和精彩的。我们只希望让更多的开发者了解安全并不神秘，一样有大量的资源可以借鉴和应用，只要我们合理去使用它们，我们就可以获得更多安全的保障。 * * * 在当前0day横行，几乎没有网站和应用可以绝对保证自己数据库系统的安全的情况下，如何合理的利用现有的安全算法，可以获得更多安全的保障，是我们需要讨论的问题。 通过对APM实现的展开进行深入的讨论，让目前还在明文保存密码的网站和使用相关算法策略并不合理（比如那些联合使用HASH或者加入单一SALT的情况）的网站，能够了解如何科学使用这些数学方法，降低安全应用的门槛；我们也希望打消那些中小网站试图自己研究一个算法的努力。放弃这些已经被经过理论和实践检验过的算法实现，而徒耗心力和人月，是不值得的。 * * * * HASH 的单向性 Hash 是把口令变换的过程 * * * * * 经过理论和实践检验过的算法实现 * Standard On-Demand Instances Small (Default) $0.085 per hour 计算资源 己有的泄密数据 彩虹表 -- gpu * 用记录保存记录 构造海量“僵尸”用户 算法误导 假表 * 创造安全每一天 创造安全每一天 WEB应用开发中的安全算法使用策略 安天实验室 2012-2-20 自我介绍 姓名:童志明 简介:ASM/C/C++程序员，专科肄业，自学未成才 职务:目前任安天反病毒引擎研发中心 总经理 Mail:andy@ * 创造安全每一天 第*页 演讲内容 背景介绍 我们所面临的威胁 那些错误的实现 安全算法使用策略 结束 * 创造安全每一天 第*页 背景介绍 关于演讲中的名词说明以及泄密事件的背景 * 创造安全每一天 第*页 背景介绍—名词相关 HASH: 简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要。 加密/密文:把口令变换的过程称为加密，以及把口令变换后的结果称为密文并不科学，但却是公众所能理解的。 计算速度: 关于HASH的计算速度，本文所指的是单位时间内的计算次数 * 创造安全每一天 第*页 背景介绍—泄密事件 * 创造安全每一天 第*页 我们所面临的威胁 我们所面临的安全威胁 * 创造安全每一天 第*页 威胁无处不在—安全是一个整体 在当前0day横行的时代，几乎没有网站和应用可以绝对保证自己数据库系统的安全 * 创造安全每一天 第*页 威胁无处不在—信息的二次利用 信息被盗后，攻击者会对信息进行二次利用 * 创造安全每一天 第*页 那些错误的实现 在泄密事件发生后我们听到了各种各样的声音…… * 创造安全每一天 第*页 那些错误的实现—使用标准HASH算法 不合理但比较靠谱的实现 如何应对统计攻击? * 创造安全每一天 第*页 那些错误的实现—使用标准HASH算法 不合理但比较靠谱的实现 如何应对高频碰撞? * 创造安全每一天 第*页 那些错误的实现—联合使用HASH 与使用标准HASH算法相同 如何应对彩虹表? * 创造安全每一天 第*页 简写 功能 应用场景 md5 对密码做MD5 大量常见网站 md5(md5($pass)) 对密码的MD5值再做MD5 大量常见网站 md5($pass.$salt) 将密码与盐连接，做MD5 Joomla等开源CMS系统 md5($salt.$pass) 将盐与密码连接，做MD5 osCommerce等开源电子商务系统 md5(md5($pass).$salt) 将密码的MD5值与盐连接，再做MD5 Vbulletin、IceBB、Discuz等论坛系统 md5(md5($salt).$pass) 将盐的MD5值与密码