网络安全略谈——你的密码是否安全？

最近一直都在学习网络安全方面的知识，也使用wireshark抓了一些报文仔细观察了一下。对于网络安全有了更多的了解，于是便在这儿和大家分享一下。

当我们打开一个网页，登陆的时候，或者cookie直接帮我们登陆的时候，我们的密码或者密码相关的信息就会被发送到另一个服务器接受验证。于是问题就产生了：可能一个不怀好意的人正在偷听你和另一台服务器的谈话——包括你的密码。

 

究竟什么是秘密？

 

        就一般的网站而言，秘密只包含你的密码！！！举个例子，你现在去啪啪或者荔枝电台注册个账号，你在上面听的内容、发布的内容、个性签名等基本没有秘密可言（当然我也看过一个booking的软件，使用ssl协议通信，基本什么信息也偷听不到）。所以我在这不能和你讨论“你的信息是否安全”，因为我们都没有去保护它，所以我们只能讨论一下这一丁点的密码我们有没有保护好。

 

网站如何进行认证授权？

 

要想知道你的密码是否安全，那我们就有必要了解一下网站确定你就是这个登录名的持有者的流程。这里介绍一个主流的方式（至少csdn是类似的方法）：当你输入密码点击登录后，你的密码会在本地产生一个md5的指纹，这个指纹会被发送到远程服务器去进行验证。为了让用户们可以在不同网站使用相同的密码以及不同的人使用相同的密码，网站会预先把它存在服务器那边的一个小的数据片段（盐，每个人都不同）发给我们，产生出“密码指纹+盐”的md5指纹并返回给服务器。这样子即使csdn内部人员也基本是不知道你的密码的。下面给一个例子（我登陆自己YY时截获的信息）

username=axuanwu223&key=YXh1YW53dTIyMywsMjAxNC0wMi0yNSAxMTowOToyOSwsNGI3ZmRhY2M4NzdhNzgyNmI2ODY5NTA2ODNkMzdjNjhlOGYwMGMxNA==

这个key里面就包含了授权需要的信息 用户名+登录时间+md5指纹。我们把key的内容copy一下，然后再百度里面搜索一下“base64解密”（这时候我们可以体验一下脚本小子的待遇了），把它贴进去就会输出

axuanwu223,,2014-02-25 11:09:29,,4b7fdacc877a7826b686950683d37c68e8f00c14

后面是一个40位的16进制数，标准的md5是32位，这估计是他们自己做的一个改进。这里再说一下时间信息为什么需要包含在指纹里，因为别人可能就仅仅截取你的MD5指纹后提交给服务器企图蒙混过关，这个时候时间就会发挥作用。了解到这些你是否会觉得你的密码很安全。

 

水桶里的短木板

 

上面的加密方法是n种中的一种，也有许多网站仅使用了base64加密，或者根本没加密。下面我提供一个获取你qq或者yy密码的方法，看看你会不会中招。

第一步：获取你的qq号（这完全没难度，只要我确定了你是我的目标）

第二步：找一个安全意识弱的网站，找出它和你的契合点，并说服你去注册。（看起来不太容易，但一旦有了合适的理由，也不会那么困难。）

第三步：找到这个密码（看过wireshark 抓取 telnet登录用户名和密码后就会发现没什么困难）。

第四步：没有第四步了，你会不会中招就取决于你会不会使用与qq相同的密码。

使用不同的密码就像一个个隔舱，就算某个被攻陷，其他的也是安全的，但没有人这么做，因为正常人能记住的密码是有限的（当然，懒也是原因之一）。大家再回顾一下这个方法：最关键的步骤——说服你注册与技术没关系。

 

结语

 

有一本书叫《欺骗的艺术》，他站在黑客的角度介绍了一次次的入侵，与大家想象的不同，这些高明的案例中黑客们不是坐在电脑前拼命敲键盘，他们打电话，他们喝咖啡，他们”漫无目的“的闲聊。当他们坐在电脑前时，一切都准备好了，你的命运也已经注定。用书中的原话说：“【这个世界上只有两种事物是无穷尽的——宇宙和人类的无知，而我对于前者还不确定。——爱因斯坦】把人作为突破口会让一切都变得更简单”。