大数据之社工库[编辑]
一、背景:
最近有关国内外互联网企业的密码安全问题受到了严峻的挑战和社区的广泛关注。腾讯安全团队的技术专家介绍了社工库扫描的内容。
常见密码存储方式对于用户来讲,用户密码信息显然是非常重要的,我们当然有必要了解社区管理者是如果保存我们的机密信息的。目前网站中主流存放用户名和密码的方式有三种:
明文存放。这种网站的用户数据特别危险,网站被黑客拿下,用户数据直接那走。
可逆加密存放。你的密码会被加密一次存放在网站的数据库中,可逆加密也是非常危险的。
不可逆加密。密码通过MD5等不可逆加密算法加密后存放在网站数据库中,比上述2种密码加密方式安全。(如果md5加密后的密码泄漏,明文密码仍有通过查找表的方式反查出来的可能)
从目前的情况看,有些网站过去是采用明文的方式存储密码的,那么对于一个账户信息未泄漏的网站,我们如何判断一个网站是采用什么样的密码存储方式呢?
一个很简单的方法,你通过密码找回功能操作,如果让你重设密码的,基本上是不可逆加密的,直接给你密码的,都是明文或可逆加密的,这种都非常危险。
二、社工库获取密码方法:
收购小网站,套取网友密码。如今很多网站在注册时,都需要用户提供邮箱地址和密码,一些不负责任的小网站可能会把这些消息记录下来,卖出去牟利。网友在输入密码时,看到输入的密码变成了小黑点,这并不是密码加密,而是页面上的一种处理手段,以防旁人偷看,密码信息输入后会传到后台的服务器上,如果这时的密码信息没有经过加密处理,后台的管理人员就可以看到密码。一些仿冒银行网站的钓鱼网站,可以获取用户的账号和密码信息。
三、如何规避风险
我们能做什么来保护自己不被社工库扫描?或将损失降到最低?
推荐做法是:重要账户和普通账户分离。具体操作如下:
1. 将帐号分类,公司帐号、有钱的帐号(支付宝等)、关系链帐号(朋友、人人等)和普通帐号。前2个为重要 账户,关系链帐号较为重要。
2. 每种账户至少对应一套密码,而且密码之间毫无关系。
3. 每种账户对应的邮箱最好也能不通,因为密码找回往往依赖与注册邮箱。
4. 养成定期修改密码的习惯。
对于网站开发人员来说,如何做到网站不被拖库?或将拖库的成本尽可能的提高?
推荐做法是:
1. 经常对网站进行漏洞安全扫描,包括后门和注入类的扫描。
2. 使用中间层,让数据与前台分离。封装数据查询语句,一定不要用msql语句明文传递。
3. 给数据库自身设置密码,并且加密备份的数据。
网络营销词典内容均由网友提供,仅供参考。如发现词条内容有问题,请发邮件至info # wm23.com。