金融信息安全实训——05.05

金融信息安全实训——05.05 a.m

消息摘要算法是密码学算法中非常重要的一个分支，它用于生成数据的“指纹”，具有不可逆性。消息摘要算法也被称为哈希（Hash）算法。

消息摘要算法的主要特征是加密过程不需要密钥，并且经过加密的数据无法被解密。著名的摘要算法有MD5算法和SHA—1算法。

SHA1摘要比MD5摘要长32位，SHA1对暴力破解有更大的防御强度。

由于MD5的设计，易受密码分析的攻击，SHA1显得不易受这样的攻击。

一致性验证：

从网上下载文件，软件，各种资料的时候，有些文件会提高MD5对照信息。

利用MD5校验软件来核对下载的文件，可验证下载得到的文件与传送方提供的文件是否相符，防止被“篡改”。

安全访问认证：

注册时提交的口令经过Hash计算后存入数据库。

验证时提交的口令同样进行Hash计算。

这可以避免用户的密码被具有系统管理员权限的用户知道以此保护敏感信息。

即使数据库被不法分子窃取，也很难获知用户的真正口令。

数字签名：

数字签名是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串类似于写在纸上的物理签名，用于鉴别数字信息的真伪，同时也是对信息的发送者身份真实性的一个有效证明。

数字签名是公钥加密技术与消息摘要技术的结合应用。

3-3公钥加密（数字签名）

1.小A同学运行Hash-Tool，生成某文件的MD5值。

 

2.小A同学利用RSA Tool对生成的MD5值进行私钥加密(反向使用RSA算法，Generate生成密钥后将D和E交换位置，再用test进行加密)。

 

3.小A同学将公钥、文件和加密后的MD5一起发送给小B同学，由小B同学验证数字签名的正确性(软件中先激活test按钮，再填写公钥进行解密)。

 

金融信息安全实训——05.05 p.m

4-2弱口令爆破

1.使用ftp工具在本机部署ftp服务，设置用户名为admin，密码为admin@123

 

2.利用字典进行爆破，截爆破结果图

 

3.爆破sqlserver的sa账户密码