我们每个人都有很多不同的账号,来标示自己的身份,银行账号、邮件账号、IM账号等等等等,绝大部分账号都是通过口令验证来达到身份识别的,接下来从各种账号机制的层面尝试解析下各种机制的安全级别。
机制安全级别的划分以破解或者获取窥探账号信息的难易程度划分。
1) 可以通过简单猜测即可获取口令的,这种是地板级别的,比如口令设置跟用户名相同,使用简单的数字,使用生日,特别短的口令等等,这种账号口令的破解,不需要任何特别的工具,试探几次就能成功,是最低级别的弱口令,可喜的是很多需要身份验证的地方在设置口令密码的地方做了检测,强制不能设置这类的口令。
2) 口令以明文方式验证,限制尝试次数。大部分的网站的口令,邮箱的口令(不是通过https走的)基本上都属于这种,在终端的输入框里面我们看到的是一堆的*,但是到了提交的信息里面却是明文的,这种机制只要在其网路上抓数据即可看到口令是怎么样的,不过在网路上安装嗅探器是个高级活除非是运营商的网管或者可以控制某个网络节点的人。如果机制上面没有限制尝试次数,那么在无法安装嗅探器的状况下暴力破解就是终极方案,所以当我们忘记一个站点的口令,并且尝试几次输错之后,站点基本上都会进行重定向来防止暴力破解。不过这种机制最大的漏洞在于站点用户的口令在站点里面数据库里的存储都是明文的,一旦数据库被copy出来,基本上所有的口令就都流出了,估计上次CSDN口令流出时,口令都是明文存放的。
3) 口令以散列方式验证,无随机数,限制尝试次数。为了防止站点数据库被copy出来而导致大量的口令信息很容易的外泄,所有的口令都传输和存储都以散列的方式进行,由于数据散列的特点,以MD5为例一段信息理论上2的128次方个样本才会产生冲突,要想通过抓取散列信息进而计算出原始的口令几乎是不可能的任务,不过MD5前几年被证实是不安全的现在散列基本上是用SHA。这种机制的缺点在于无法防止重放。口令的验证机制仅仅比较散列值是否一致,如果散列值被抓取或者存放散列的数据库泄露,则在客户端写个简单的程序即可验证通过,但是要写出这个简单的程序需要对站点的验证机制比较清楚,并且有一定的编程基础,因此破解的难度提高了一点。
4) 口令以散列方式验证+随机数,这个机制就是为了解决重放的,假定原始的口令明文为P,散列后为H(P),服务端以H(P)的方式存储,验证口令的时候服务端先发一个随机数R,然后要求客户端的验证信息为M=H(H(P),R),这样一来由于每次服务器发的R都是不一样的,随机的,所以每次的M都是不一样的,基本上就杜绝了在网路上被抓取的风险,但是这个依然无法杜绝数据库被copy出的时候的安全风险,破解的方法在3)的基础上加入获取服务端随机数R的功能。
5) 自签名证书验证,现在很多的站点进行口令验证的时候都会采用https协议,这个里面安全方面的基础就是证书,证书提供一对公开密钥,用于产生通讯时的对称密钥,但是大部分站点提供的证书是自签名的,即让客户端无条件信任自己发过去的证书,这个一般在我们获取https访问的时候大部分的浏览器都会进行告警,这个机制在口令信息保护的算法上来说是安全的但是机制上由于自签名,无法抵御中间人攻击,目前有一些安全厂商声称可以针对https的数据进行监测的原理也是利用中间人攻击的方式解开里面的数据进行检测的,只要机制上允许中间人的存在,那么无论采用1~4任何的口令验证方式都是可以破解了,只不过增加了中间人欺骗客户端和服务器端的过程
6) 权威证书验证,第三方认证,增加一个权威的证书签发机关,每个用户的证书上都有签发机关的电子签名,证书签发机关的私钥是任何中间人通过技术手段无法获取的,因此可以杜绝5)所产生的问题,这种方式广泛见于网银,网上支付等验证手段,这种方式是现在可商用的终极的解决方案,它的安全风险在于整个公开密钥体系的安全,即RSA-MD5,RSA-SHA等,由于MD5和SHA1被证实不是像他传说中的安全现在好像基本上都是SHA256,不过即是针对不安全的MD5我们普通人想要去破解还是很难的,除非我们深入的了解了王小云教授的那套方法:)
7) 生物特征验证,指纹,眼底扫描之类跟个人人体特征相关的数据提取在很多组织的身份验证有广泛的应用,但是验证信息的传输还是采用上述的传统方式,只不过原始验证信息更难提取和获取,必须要有专用的设备,这种机制的破解除了要具备上述技术手段外还需要对人体特征的采样机制有深入的了解。
8) 秘密分割,电视剧《越狱》里面有个Scylla,要获取里面的信息必须要六张卡齐全才能进去,这种机制并不是电视里面瞎说说的,现实中是存在这样的机制的,就是秘密分割机制。用于保护核心机密,其实说白了是个门限方案的工程应用,这种是目前已知最强的账号安全方案,但是就拿越狱来举例,如果6张卡丢失了或者其中几个叛逃了或者出意外了,要获取信息所有的都得重新来过,会增加大量的工作和开支。理论上这个方案是无法通过常规的技术手段破解的。
9) 社会工程学,要破解账号或者口令其实通过技术手段可能并非是最好或者最直接的,最直接的方法是偷窃,威逼,利诱,哄骗等等非技术手段,我们可以想象如果有人拿着刀架在你的脖子上或者用枪指着你的头让你说出你银行卡的密码,估计绝大多数是会说的,毕竟要钱不要命的人比较少,其他的通过非技术手段获取账号的方式大家可以想象哈,不过非技术手段基本上都是恶意违法的(嗯,其实通过技术手段获取账号口令也是恶意违法的,哈哈)
2615
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
