密碼安全，顧名思義，它指的是對(duì)于我們密碼的安全。密碼是我們生活中最常見的進(jìn)行身份驗(yàn)證的一個(gè)因素，一般我們?cè)诘卿浵到y(tǒng)或者是其他應(yīng)用程序的時(shí)候，最先需要利用用戶名和密碼來驗(yàn)證我們的身份，這稱為單因素身份驗(yàn)證。

除了密碼之外，我們還可以再進(jìn)一步利用數(shù)字令牌、利用生物特征，比如虹膜掃描，視網(wǎng)膜掃描等來對(duì)你進(jìn)行身份驗(yàn)證，但密碼永遠(yuǎn)是最常見的身份驗(yàn)證的第一個(gè)因素。

密碼作為最基本的一個(gè)身份驗(yàn)證的因素，如果沒有被保護(hù)好，或者被別人猜測(cè)到，而網(wǎng)站又沒有做到足夠的防護(hù)，沒有檢測(cè)或者其他加固的安全性措施的話，那么你的系統(tǒng)就完全暴露在攻擊者面前，再也沒有任何秘密可言。?

P1常見密碼攻擊手段及其危害分析

危害分析

針對(duì)密碼攻擊的危害，以保險(xiǎn)場(chǎng)景為例，保險(xiǎn)公司的一個(gè)普通客戶，突然某一天接到一個(gè)謊稱是保險(xiǎn)公司的客服電話，聲稱保單查詢系統(tǒng)正在升級(jí)，需要提供登錄保單查詢系統(tǒng)的用戶名和密碼將系統(tǒng)升級(jí)。如果沒有足夠的安全防范的意識(shí)，透露了你的用戶名和密碼信息，那么對(duì)方可以通過一系列社會(huì)工程學(xué)攻擊的手段，查詢并修改你的信息，甚至是改動(dòng)賬戶資金分配。

如果你的密碼恰好是你最常用的一個(gè)密碼，騙子將有可能用你的密碼去撞庫(kù)，接下來你會(huì)收到源源不斷的外部保險(xiǎn)推銷的電話和異常登錄的短信提示，造成嚴(yán)重的信息泄露。

再假設(shè)另外一個(gè)場(chǎng)景，比如保險(xiǎn)公司有一個(gè)積分系統(tǒng)平臺(tái)，客戶可以利用自己的保費(fèi)去換取積分，并在積分商城兌換相應(yīng)的禮品。這個(gè)積分平臺(tái)首先會(huì)對(duì)注冊(cè)用戶開放，如果他的密碼設(shè)為最常見的123456這樣的弱密碼，積分平臺(tái)被黑客仿冒登錄后，把用戶的積分去兌換為價(jià)值不菲的商品，并且郵寄到黑客指定的地址，造成了客戶的損失。另外一方面對(duì)公司而言，客戶會(huì)嚴(yán)重懷疑是保險(xiǎn)公司系統(tǒng)有漏洞，導(dǎo)致了個(gè)人信息的泄露，會(huì)造成退保、投訴等業(yè)務(wù)損失。

所以由此看來，我們密碼的各種各樣的問題，會(huì)造成客戶損失、客戶投訴、業(yè)務(wù)損失和監(jiān)管處罰。這樣的事情其實(shí)在我們生活中每天都在發(fā)生，最終受影響的都是公司的業(yè)務(wù)。

常見密碼攻擊手段

<暴力破解>

暴力破解是指把所有的數(shù)字、字母、包括特殊字符等等進(jìn)行排列組合，把所有的組合嘗試一遍來猜測(cè)這是不是用戶正在使用的密碼。雖然看起來比較笨拙，但是卻是最有效的密碼攻擊的手段。

<字典攻擊>

字典攻擊比暴力破解稍微智能一點(diǎn)，根據(jù)受害人的個(gè)人信息，比如昵稱、別名、名字、生日郵箱等等，生成一個(gè)可能使用的密碼的字典。字典跑完，攻擊也就隨之結(jié)束，所以字典攻擊的效果取決于這個(gè)字典的精準(zhǔn)程度。?

<密碼猜測(cè)>

通過猜測(cè)常用的簡(jiǎn)單密碼嘗試登錄賬戶，譬如123456或者生日等等。在這個(gè)過程中，你登陸失敗的痕跡也會(huì)記錄在審計(jì)日志里面。?

<彩虹表攻擊>

哈希稱為HASH，是用來保證數(shù)據(jù)完整性的一種手段，本質(zhì)是一個(gè)數(shù)學(xué)函數(shù)，能夠?qū)⒉欢ㄩL(zhǎng)的字段經(jīng)過哈希函數(shù)的運(yùn)算都轉(zhuǎn)換為固定長(zhǎng)度的字段。?比如abc，或者ABC123，經(jīng)過哈希之后，它會(huì)生成一段亂碼，而看不到明文。?但哈希函數(shù)有一個(gè)不可逆的特性，就算能夠得到它的哈希值，也無法逆推出原來的明文的那個(gè)值。?但黑客去對(duì)很多得明文去做哈希的運(yùn)算，記錄在一個(gè)表格里面，這個(gè)表就叫做彩虹表。
將來黑客去對(duì)一個(gè)公司的數(shù)據(jù)庫(kù)進(jìn)行偷庫(kù)，他看到數(shù)據(jù)庫(kù)里面的一個(gè)密碼字段，他可以到彩虹表里面去找對(duì)應(yīng)的明文值，那么這就叫做彩虹表攻擊。?它特征就是提前生成散列，那么當(dāng)發(fā)現(xiàn)散列值的時(shí)候，用散列值比對(duì)出明文密碼，這也是一種密碼攻擊的手段。

<社會(huì)工程學(xué)攻擊手段>

社會(huì)工程學(xué)攻擊手段本身是不依賴于任何的技術(shù)手段。?但如果利用人性的一系列的心理學(xué)的一些弱點(diǎn)，再結(jié)合一些技術(shù)手段，比如說結(jié)合一些礦產(chǎn)腳本攻擊漏洞，結(jié)合調(diào)郵件等等的技術(shù)手段，它能發(fā)揮最大的一個(gè)攻擊的效率。?常見的通過社會(huì)工程學(xué)攻擊去獲得密碼的方式有哪些？像電話客服套取用戶密碼，肩窺、垃圾搜尋等方式去獲取密碼并嘗試登錄你的系統(tǒng)，能成功地進(jìn)入公司的內(nèi)網(wǎng)。

<間諜軟件>

一種惡意軟件，常伴隨著我們的木馬安裝，一旦電腦感染了木馬惡意程序，就可以偷窺電腦里面?zhèn)鬏數(shù)乃械臋C(jī)密的信息，包括你的密碼等等。?

<竊聽攻擊>

一些內(nèi)網(wǎng)嗅探工具，例如sniffer，可以用來抓取流量包，如果這個(gè)包里面的傳輸?shù)膮f(xié)議使用的是ftp或者h(yuǎn)ttp這些明文協(xié)議，那么一旦被嗅探到，利用抓包工具里面的協(xié)議分析儀功能，就可以查看包里面的明文用戶名密碼等內(nèi)容。?

常見攻擊用到的工具

1.字典生成工具

Crunch、CUPP等

2.密碼破解工具

Hydra、Medusa、Aircrack-ng等

3.釣魚郵件，電話釣魚攻擊

只需要一個(gè)郵箱后者一部電話

P2常見密碼安全風(fēng)險(xiǎn)行為

密碼是權(quán)限控制的第一道關(guān)卡，因?yàn)楹芏嘤脩粼O(shè)置密碼過于簡(jiǎn)單，登錄的系統(tǒng)也并沒有強(qiáng)制采用強(qiáng)密碼策略，同時(shí)也沒有采用其他的多因素身份驗(yàn)證的方式，包括用戶的安全意識(shí)的不足，就容易遭受社會(huì)工程學(xué)攻擊。而且密碼被破解之后，缺乏異常登陸的報(bào)警，也沒有能夠及時(shí)地監(jiān)測(cè)到密碼的異常登陸，就會(huì)導(dǎo)致攻擊頻發(fā)。

我們有哪些常見的密碼安全相關(guān)的風(fēng)險(xiǎn)的行為？

1.設(shè)置弱密碼，例如123456這樣的簡(jiǎn)單密碼；

2.輕易相信別人，不驗(yàn)證別人身份就透露密碼和密保問題；

3.密碼一旦設(shè)置不再修改，包括使用共享密碼；

4.密碼主動(dòng)外泄；

5.肩窺等等......

我們威脅的主體就是常見的攻擊者，就是所謂的黑客，他會(huì)利用各種各樣的漏洞去發(fā)動(dòng)攻擊，從而造成我們所謂的風(fēng)險(xiǎn)。

弱密碼本身就是一個(gè)漏洞，它會(huì)導(dǎo)致兩類風(fēng)險(xiǎn)：第一個(gè)是外部風(fēng)險(xiǎn)，也就是說如果由于各種各樣的原因造成客戶信息的泄露、客戶的投訴以及監(jiān)管的懲罰，這些都是外部的風(fēng)險(xiǎn)；

第二個(gè)是內(nèi)部風(fēng)險(xiǎn)，比如由于某種原因，后臺(tái)的密碼被攻破，那么黑客就可以去登錄我們的系統(tǒng)的后臺(tái)，植入webshell，奪取服務(wù)器的最高權(quán)限。甚至還可以不動(dòng)聲息地在我們的服務(wù)器上植入挖礦的軟件，包括利用服務(wù)器發(fā)送垃圾郵件，成為發(fā)動(dòng)拒絕服務(wù)攻擊的一些傀儡。如果由于密碼的漏洞被安裝了間諜軟件，那么內(nèi)網(wǎng)的所有數(shù)據(jù)都會(huì)被監(jiān)聽，包括財(cái)務(wù)數(shù)據(jù)、開發(fā)的代碼等等，企業(yè)內(nèi)部也沒有任何的秘密可言。

P3安全行為規(guī)范建議

風(fēng)險(xiǎn)的常見處置方式

1.風(fēng)險(xiǎn)的接受

2.風(fēng)險(xiǎn)的規(guī)避

3.風(fēng)險(xiǎn)的減小

4.風(fēng)險(xiǎn)的轉(zhuǎn)移

風(fēng)險(xiǎn)控制的手段

1.預(yù)防性控制

2.檢測(cè)性控制

3.修復(fù)性控制

按照功能性，又可以分為：

1.物理性控制

2.邏輯性控制，又稱技術(shù)性控制

3.管理性控制，又稱行政性控制

常見的安全行為規(guī)范

1.強(qiáng)密碼策略

2.密碼復(fù)雜度

3.密碼歷史

4.密碼最長(zhǎng)/最短使用時(shí)間

在設(shè)計(jì)系統(tǒng)的時(shí)候，除了做密碼的驗(yàn)證，對(duì)密碼實(shí)施強(qiáng)密碼策略，對(duì)密碼進(jìn)行驗(yàn)證之外，還需要利用口令、令牌或者是生物驗(yàn)證等其他的方式去實(shí)施雙因素或者多因素身份驗(yàn)證，僅靠密碼身份驗(yàn)證進(jìn)行驗(yàn)證是完全不夠的。

另外一方面，密碼找回的問題也不能過于簡(jiǎn)單，而且還要不斷去驗(yàn)證它的一個(gè)身份等等，這都是密碼設(shè)計(jì)的一個(gè)安全行為的規(guī)范。?

最后在內(nèi)網(wǎng)實(shí)施產(chǎn)品碼策略，可以在預(yù)控服務(wù)器上去執(zhí)行，通過組策略去實(shí)施密碼長(zhǎng)度、復(fù)雜度等強(qiáng)密碼的一個(gè)策略，包括去實(shí)施賬戶地鎖定的闕值、持續(xù)時(shí)間等等。也可以用于我們的線上的系統(tǒng)，這些都是一些密碼相關(guān)的安全設(shè)計(jì)的規(guī)范，包括使用加密去存儲(chǔ)賬戶密碼，通過密碼學(xué)的一些手段去實(shí)施密碼的加密，不能以明文的形式存儲(chǔ)密碼。還要去定期的去做審計(jì)，及時(shí)去觸發(fā)報(bào)警等等。

課程推薦

《密碼安全》是面向技術(shù)人員，介紹強(qiáng)密碼策略，演示內(nèi)網(wǎng)密碼攻擊示例，賬戶密碼加固策略，以及簡(jiǎn)單的加密基本原理，對(duì)稱加密非對(duì)稱加密，公鑰基礎(chǔ)設(shè)施架構(gòu)；風(fēng)險(xiǎn)危害透析、常見風(fēng)險(xiǎn)行為分析、安全行為規(guī)范建議、管理和技術(shù)手段建議等。

視頻地址：https://www.aqniukt.com/course/12237

注：安全牛課程至尊技術(shù)會(huì)員免費(fèi)學(xué)

識(shí)別二維碼直達(dá)課程頁面