站点首页
关于华好捷
新闻中心
产品展示
工程案例
加盟代理
人才招聘
联系我们
新闻中心
新闻中心
企业新闻
行业新闻
技术支持
信息搜索
关键字:
范 围:
-请选择-
产品
新闻
下载
在线联系:
首页
新闻中心
新闻中心
广东密码学高材生支招:什么样的密码最安全?
新闻来源:广东密码学高材生支招:什么样的密码最安全? 点击数:1654 更新时间:2016-10-08 09:33:02
收藏此页
试想今天你登录了自己的网络账号,突然发现信息被盗、存款流失,你首先意识到的问题是什么?小晚最先想到的问题是,密码泄露了。
互联网在方便我们进行物质交易与人际社交的同时,也激活了各路逐利者破解用户密码盗取重要信息与钱财的欲望。因此,如何保护密码安全,正是今天小晚最想和大家分享的事情。这也是目前备受关注的网络安全问题。
什么样的密码最安全?
来自计算机学院2014级网络工程专业的小神先生,自大一开始便跟随王立斌导师进行密码编程学、算法方面的学习。目前的小神先生更专注于网络安全、密码学等相关领域,并在博客中发布相关学习交流的文章。而王立斌导师则专注于计算机安全的基础理论研究。
广东密码学高材生支招:什么样的密码最安全?
(小神先生在计算机学院门前)
大家可能有过类似的经历,在创建账户的时候,系统会要求你的密码尽可能地复杂,比如注册Apple ID的密码是要求区分大小写的。那么事实上,对于密码设置而言,是否越复杂就代表越安全?
小神先生表示:对于密码体系而言,通常认为在数学理论上证明计算安全、解密成本大于密码保护的成本时,密码体系是安全的。而密码本身的复杂度不能代表安全性,只能代表抗暴力攻击的能力。什么是暴力攻击呢?那就是攻击者利用组合性猜测正确的密码并不断地尝试。回到前面的例子,比如说现在有这样的两个密码,[123456789]与[#Eru?nYo++:mIsaki%p],看似后者更加安全,事实上两者的安全性是相当的,只是前者的抗攻击能力远远弱于后者。
那么,数学上又是如何证明密码体系是安全的呢?
比如现在使用非常广泛的RSA公开密钥加密算法,它的计算安全性是基于大整数分解问题,并从数学上证明是难的。什么是大整数分解问题?举个简单的例子:给出质数3和5,求乘积得到15这个过程是容易的,而给出15要求出两个素因子就是大整数分解问题。当给定的数非常巨大的时候,现阶段这个求解过程是艰难的。假设存在方法可以快速(可容忍的时间成本)求解该问题,那么现有的公开密钥加密体系将会是不安全的。
泄密问题在哪里?
事实上,针对不同的保密需求,现有生活常见的加密场景已经具备安全的环境。如: QQ、微信、支付宝等相关的加密技术都具备高抗攻击的能力,要想从密码体系的漏洞中大规模破解是难的。小神先生开玩笑地说道:“要是有人拿着枪抵在你的脑门中强求追问密码,那受密码保护的内容也会损坏,这又是社会工程学的内容了。”
假如密码体系是安全的,那么现阶段又怎么会出现这么多诈骗事件?
小神先生归结道:这是因为用户主观意识上授权了安全系统解除保护机制。例如用户收到了诈骗信息要求转账到某某账户,用户自己输入了正确密码授权银行转账,这个过程密码体系没有办法保护用户的意识。事实上,密码体系能够提供的保护应当是允许合法用户的操作,拒绝未经授权的访问。
注意到关键词“未经授权”,也就是说安全体系必须要提供一种能力阻止没有经过用户同意的访问。现有的安全系统不仅仅从密码上来评估授权,还会利用其他的信息来评估当前用户是否合法。例如,支付宝除了需要正确的密码外,还需要评估当前设备(之前一直好好的用着某手机,怎么这次是另一个牌子的手机?)、使用场景(之前的消费都是几十块的,这次怎么突然花几万块?)、使用地点(之前一直在广州消费,这次怎么在北京?)等等。换句话说,简单的持有密码并不能轻易的侵入安全系统。
下面举例说明攻击手法
▼
对于安全系统而言,当出现评估失败的时候,安全系统会试图重新认证,这是考虑到合法用户有可能出现了错误。例如小神先生可能输错密码了、恰好今天买房子花掉几百万、换了 iPhone 7 手机、今天去北京旅游了等等。而常见的重认证方式就是短信验证码,安全系统试图发送验证码到手机上,并要求用户返回该验证码。如上图,一种攻击手段是在短信最后 1 公里,利用设备监听、拦截、劫持该短信并完成重验证的过程,这个时候安全系统就被攻破了。
另一种手段是补卡,在上面的重认证过程,关键还是谁能拥有该手机则为授权通过。利用营业厅的补卡手续,通过伪造个人信息获得同样号码的手机卡,这时候验证短信就会发送到攻击者的手机上。基于这种安全因素,现阶段通信公司的补卡手续已经变得相当严格。
小神先生亦认为:现阶段的网络诈骗很大程度都是因为用户受到了各种原因的影响主动解除了安全系统的保护而导致的,而归结起来是个人信息泄露造成的。例如黑客通过攻击学信网的数据库获得大量学生的个人信息,包括姓名、手机、家庭住址等等,利用这些信息进行相应的诈骗。在整个网络安全领域,上面提到的支付安全只是很小的一个环节,还有很多的地方需要保护。
“菠萝派”有毒,连接WiFi需慎重
广东密码学高材生支招:什么样的密码最安全?
菠萝派全称是 pineapple,是一种无线审计设备。它包含独立电源与开发板,具备微型计算机的能力,运行基于 linux 的菠萝系统。它在系统中集成了大量的无线审计软件,利用现有协议的漏洞实现无线网络的攻击。
那么,菠萝派能够做什么事情?
它能够伪造虚假的无线网络环境,并且监控、拦截、分析、伪造、劫持该网络环境内的所有通信。例如发起中间人攻击使得通信内容被监控同时没有引起通信双方的怀疑、发起 DNS 劫持使得网络请求重定向等等。
“菠萝派的价格很便宜,在淘宝上就能买得到,并且使用起来非常简单。”
小神先生给出的建议是:如果不需要使用 wifi 功能,尽可能的将手机的 wifi 功能关闭而不是开启状态。连入无线环境的时候选择有 WPA2 加密的网络,并且检查 IP 地址是否正常。
分级设密,分散风险
上文提到,密码的复杂性不影响安全性,只是影响抗暴力攻击的能力。小神先生建议大家设置相对复杂的密码,并且根据重要性设定不同级别的密码。
如果使用同一个密码保护所有的账号,那么当某个账号的密码泄露的时候,就会造成所有账号都被攻破。其中授权认证的过程级别是最高的,应该要重点保护。什么是授权认证?简单地说就是邮箱和手机,大部分的安全系统都会通过邮箱与手机来认证用户的合法性,一旦邮箱或者手机被攻破,那么几乎所有的账号都毁于一旦。
“现阶段,破解安全系统不容易,实施攻击必须要满足非常多的约束条件,它并不是一件很轻松实现的事情。例如要破解密码的话,单单从密码体系方面入手已经是很难很难,现阶段都是利用信息来进行认证绕过,就好比巨大的城门攻不破,那么可以选择走后门嘛。”小神先生描述道。
小神先生总结:不因噎废食,也不因食忘噎。任何事情都会存在风险,如何正确的分析、评估、平衡风险远比避免风险更加重要。同学们应正确定位自身的安全需求与安全风险,除了学习安全知识保护自身的财产信息安全,还需要有风险承付能力。
小神先生针对目前的安全问题给出建议:
1、不同的账号根据重要程度设定复杂的密码,最好能够定期更换密码。
2、解除安全保护之前要确保主观意识是明确的,例如当你要进行钱财转账之前要明确转账信息。
3、不要随意借用手机、计算机设备给他人使用。
4、个人资产利用购买保险作为承受风险的保障,当发生账号被盗事件第一时间冻结所有账号并请求警方帮助。
5、公共 wifi 环境、未经安全审核的 wifi 环境应当仅用于普通的通信,不建议进行网络交易、重要会谈、密码输入等行为。
除了小神先生外,小晚还请来保卫处副处长余怀忠为大家解套路哦。
(华南师范大学保卫处副处长余怀忠)
1、要防范不法分子利用技术窃取我们的账号、密码或者验证码。不要轻易点开链接,也不要按照他们的要求来输入相关信息。在把握不准的时候就不要再填,以保护好账号安全。
2、不要将个人信息资料(如存折及信用卡的密码、住址、电话、手机、呼机号码等)轻意告诉他人,以防被不法分子利用。
3、我们可以在网银、微信以及支付宝账号的账户绑定另外一个银行账户,该账户存放金额较小的钱,风险转移。存放大额金钱的账号不用于捆绑,捆绑账号的金额不宜超过500块,如果有需要购买大件、贵重物品再进行充值。在可控范围内避免被诈骗风险,而不是所有积蓄。
小晚温馨提示十条小Tips
1、有人要“验证码”,别给;
2、短信内带链接,别点;
3、手机不显号码,别接;
4、问你银行卡号,不说;
5、有些号码可以拨打验真假;
6、钱财只能进不能出;
7、叫出你名字的人不一定是熟人;
8、养成核实网站、网站域名的习惯;
9、不相信天上掉馅饼;
10、谨防QQ号、微信号被盗诈骗陷阱。
总页数:
1
第 1 页
上一篇:
女子广州参团旅游遇翻车 索赔时被告知过期了不赔
下一篇:
又一条最美高铁即将开通:广州经广西到昆明
【刷新页面】
【加入收藏】
【打印此文】
【关闭窗口】
友情链接
广东轴流风机
广州风机
广东风机厂
广东离心风机
离心风机
轴流风机
消防排烟风机
空调风机
柜式离心风机
屋顶风机
高压风机
除尘风机
厨房抽油烟设
工业风扇
防腐风机
玻离钢防腐离
华好捷阿里巴
华好捷玻璃钢
售后服务
|
营销网络
|
关于华好捷
|
广州风机厂工程实例 工程安装图片
|
联系我们
© 2008-2010广州华好捷通风设备有限公司版权所有
粤ICP备09079444号
电话:020-34732025 地址:广州市番禺区沙头街莲湖村工业路11号102号
后台管理