《信息安全》第13章 密码.pptxVIP

密码

引子2014年12月25日上午10：59，乌云网发布漏洞报告称，大量12306用户数据在网络上疯狂传播。据了解，本次泄露事件中被泄露的数据高达131553条，包括了用户账户、明文密码、身份证和邮箱等多种信息。此时，正值春运购票的关键时刻，这些关键的用户数据是如何泄露出去的呢？泄露事件发生后，12306发布公告称网上泄露的用户信息系经其他网站或渠道流出，原因是12306网站使用的是多次加密的密码，而泄露的是明文密码。分析人士称，这也从另一个侧面说明，这些密码可能不是从12306网站泄露出去的。此后，360互联网安全中心的安全研究人员非常肯定地以书面方式回答21世纪经济报道经济的采访函时表示，“此次12306网站信息泄露是被黑客撞库造成的。”其理由是，经过他们安全研究人员的调查发现，第一、几乎所有13万条12306账号密码，都可以在此前多家游戏网站泄露的密码库中匹配到相应的记录。说明黑客用多家游戏网站的密码库对12306发动“撞库”攻击，筛选出13万余条使用相同账号密码的用户数据。第二，通过对12306泄露数据中的相关用户进行抽样调查，超过半数没有使用任何抢票软件，其余则是使用不同的抢票软件。

本章思维导图

密码概述Part1

密码概念密码口令密码指的是通过一定的方法把正常的数据转换成为不可辨识的数据的过程口令是系统为了保障数据安全而采取的一种访问控制的手段。

密码设置规则避免使用用户名作为密码避免使用个人信息设置密码避免使用有规律的字母数字组合设置符合复杂性要求的密码给不同的系统设置不同的密码定期修改密码

使用密码保护数据Part2

给Word/Excel/PowerPoint文件加密

给Word/Excel/PowerPoint文件加密

给文件/文件夹加密

Part3如何破解密码

暴力破解穷举式破解字典式破解

穷举式破解类别字符个数穷举空间数字10108=100,000,000,000小写字母26268=208,827,064,576大写字母?26268=208,827,064,576其他字符32328=1,099,511,627,776小写字母+数字36368=2,821,109,907,456大小写字母+数字62628=218,340,105,584,896大小写字母+数字+字符95958=6,634,204,312,890,625

字典式破解字典式破解是根据字典文件中的字符去尝试匹配。所谓的字典文件是存储黑客使用字典工具或者自主编辑生成的字符组合集的文本文件；这些字符组合往往是黑客根据攻击目标的特点所定制的。

嗅探破解

社会工程学破解社会工程学是一种利用事先获取的直接或间接信息及人性的弱点，精心部署陷阱，获取利益的攻击方法。钓鱼攻击就是社会工程学师最常用的一种方法。

撞库攻击所谓的撞库攻击依赖于用户在不同网站上使用相同的账号和密码的特点；是指黑客通过搜集互联网上已经泄露的用户账户信息生成字典文件，继而使用该字典文件批量尝试登录其他网站，筛选出一系列可以登录的用户账户信息的过程。

撞库攻击

谢谢聆听！