热搜
您的位置:首页 >> 历史

密码学与网络安全便于记忆与安全网络密码如

2019年05月15日 栏目:历史

1 : 便于记忆与安全,络密码如何兼顾?图右的人输入的密码是4个单词,意思是移液管、水槽、渡渡鸟和屠杀。在计算机安全中,密码可谓是无

1 : 便于记忆与安全,络密码如何兼顾?

图右的人输入的密码是4个单词,意思是移液管、水槽、渡渡鸟和屠杀。

在计算机安全中,密码可谓是无处不在。但是它们常常难以到达应有的效果。1个好的密码应当既便于记忆又很难被猜出,在实际中人们常常忘记了后者。有的人乃至采取了极真个简易密码只使用1个字母作为密码。根据黑客从1个称为RockYou的站盗取的3200万密码资料来看,该站1.1%的用户,也就是约36.5万人,都使用了123456或12345作为密码。

这类可预感性为安全研究者和黑客带来了福音,他们可以通过创建经常使用密码的字典来进行破解。虽然研究人员知道密码并不是牢不可破,但是想要知道它具体的安全程度却10分困难。许多研究采取的密码样本都比较小,多只有数千条密码。虽然那些在黑客站上放出的破解知名站而得到的密码数量都很多,但是将这些用于研究的话在伦理上说不通,其可用性也是未知的。

但是,今年5月将会在电气和电子工程师学会(IEEE)所主办的安全会议上发布的1篇论文可能能为众人阐明这个问题。来自英国剑桥大学的约瑟夫博诺(Joseph Bonneau)取得了迄今为止的密码样本,他与大型互联公司雅虎合作取得了7000万个样本,虽然数据都是匿名的,但是它能够提供有关其所有者实用的统计数据。

很快博诺就发现了其中的1些有趣的地方老年人设置的密码安全性通常要高于年轻人,而其中不乏1些科技水平纯熟的年轻人。使用韩语或德语的用户所选择的密码为安全,而使用印尼语群的人所设置的密码安全性。那些用于敏感信息(如信誉卡号码)的密码,其安全性仅比用于次重要信息(如游戏账号)的稍微高些。 对那些选择了不安全密码的用户们,站通常会用1个提示窗口来进行正告,但这1方法收效甚微。乃至对那些帐户曾被入侵过的用户来说,其密码安全性也其实不高于那些账户没被入侵过的用户。

虽然7000万的样本存在着差异性,但是1个通用的密码字典也许就可以对全部样本进行有效破解了。博诺表示,倘若攻击者能够对每一个帐户进行10次尝试猜想,那么1%的用户将被危及。而在黑客眼中,这是1个很可观的结果。

1个明显的应对办法就是限制猜想次数,就像取款机1样,当到达规定料想次数时用户将被制止访问。但是除那些像谷歌、微软这样的大型站会采取类似的措施,其他许多站都没有这么做。在2010年,博诺和他的同事检测了150个大站,结果发现其中126个站都没有限制料想次数。有的站之所以采取如此松懈的管理是由于他们所要保护的资料并没有特别的价值。另外还有1种缘由是,很多站在初始阶段出现了资金短缺的状态,而实行额外的密码安全措施将占用宝贵的编程时间,他们开始就舍不得付出,以后就更懒得改变了。

另外还有1种叫做密码短语的密码设置方式,它采取多个单词组合而不是单个单词来作为密码。这意味着黑客需要猜出更多的字母,因此密码的安全性也更高。固然,这仅限于那些不出现于经常使用短语字典里的词语,但是实际上人们设置密码时使用的常常都是常常使用词语。

在2009年10月至2012年2月期间,络零售商亚马逊的密码短语系统便允许用户使用密码短语口令。博诺和他的同事对其进行了分析,他们发现虽然密码短语的确会比1般密码来的安全,但是结果并不是完全到达了预期的效果。1个4到5个随机选择的词语一定10分安全,但是随机选择的词语其实不易于记忆,这对黑客而言是1个福音。博诺搜集了互联上的1大堆如电影名、体育短语和俚语等信息,以后建立了1个包括20656个词的字典,而这个字典就可以解锁亚马逊数据库中1.13%的账户。

1个解决方案是将密码和密码短语结合起来,构成1种所谓的助记符密码。这是1种看似混乱的字符串,但记起来却其实不困难。例如,可使用单词的首字母,变换大小写,或使用1些替换符号(比如用8代替B)。比如说itaMc0Ttit8代表的意思就是is thus a mnemonic contraction of the text in these brackets这句话。但即使是助记符密码,也并不是无懈可击。在2006年发表的1项研究表明,利用包括歌词、电影名等类似词语的字典可以解开4%的助记符密码样本。

目前人们仍然没有两全其美的答案。所有的安全措施都将使人厌烦,在安全和简约之间1直存在着1个奥妙的平衡。只要这个平衡不被打破,那末黑客便有隙可乘。

本文编译自:The Economist, Speak, friend, and enter

文章来自:果壳()

2 : 密码学络资源

Cryptographers' Homepages(List ofLists)

德国法兰克福大学

台湾国立中央大学

韩国密码学家

加州大学伯克利分校

Jan Camenisch's list

Ronald L. Rivest's list

Cryptography Related Poeple

Keith Matthews' Number theorists' Home Pages/Departmentallistings

世界各大学的密码学及信息安全研究中心

加拿大滑铁卢大学:

德国德累斯顿理工大学(开发了的数论算法库LiDIA):

比利时鲁汶大学:

苏黎世瑞士联邦工学院:

美国斯坦福大学(Dan Boneh):

美国麻省理工学院(Ron Rivest, Micali Silvio)

瑞典皇家理工学院:

法国巴黎高等师范学院

美国威斯康辛大学密尔沃基分校

美国俄勒冈州立大学

美国伍斯特理工学院:

美国马里兰大学巴尔的摩分校

新加坡国立大学

加拿大麦克希尔大学

加拿大蒙特利尔大学

丹麦奥胡斯大学(Ivan Damgard)

德国波鸿大学

德国波恩大学

美国加州大学戴维斯分校

美国加州大学圣地亚哥分校

英国伦敦大学学院

英国布里斯托大学

奥地利Graz University ofTechnology

卢森堡大学

瑞士洛桑工学院

法国巴黎综公道工大学

IBM CryptographyResearch Group at the IBM tson ResearchCenter

的商用密码公司

Certicom,滑铁卢大学密码学教授Scott nstone创办

BT Counterpane,密码学家Bruce Schneier创办

RSA Security,EMC公司的信息安全分部

ECC(椭圆曲线密码学)

韩国的1个椭圆曲线密码学站索引

1个德国博士的关于ECC和HECC的论文。

麻省WPI工学院电子工程系密码学研究组的论文大多关于ECC,AES等的硬件实现。

1个荷兰的密码学FTP站点有很多关于ECC的资料

ECC的1位专家Alfred Menezes 的主页

其它:

()

密码学家:

加州大学圣地亚哥分校MihirBellare

以色列魏茨曼学院OdedGoldreich

法国巴黎高等师范学院

Volker Muller

UCDavis

伦敦大学学院:

(AmericanCryptogram Association)

(monoalphabetic cryptography game on pc)

(A lot of links (approximately 500) on cryptography)

(offcial SiteBletchley Park)

(Site specialized on thesteganography, with an interesting list of software)

(Transcription ofthe manuscript quantified founder of the company “Dawn Goldendelicious”.)

(A presentation of codes and figures)

course online of cryptanalyse)

(A course online of cryptanalyse)

(Dai Wei, Crypto++ , Bibilothque of C++ programs relating to cryptography)

⑶4⑷0⑵/ (FIELD MANUALNO 34⑷0⑵. courses of cryptanalyse of the American army)

of help to lows also coding with many methods .)

(Encyclopedia on lineof the cryptographic protocols)

(Asummarized history of cryptology)

(Ahistory of cryptology between 1470 and 1606, at the time ofShakespeare.)

(Completepresentation of the cryptology from Antiquity to our days.)

(Programs Java of cryptography in freeware.)

(A tutoriel of cryptography on the most known figures oftraditional and modern cryptography.)

(With CryptoTool, a software of coding/decoding for Macintoch.)

(The site of anauthor specialized in the steganography)

(Somealgorithms of modern cryptology (RSA, MD5,…)

(A shortoverflight of the cryptology of the Elizabthaine period.)

(Useful applet javafor the cryptanalyse of the figure of Vigenre and the figuresmonoalphabetic.)

(A course online of cryptology)

(Site of the National Instituteof Standards and Technology)

(The museum of the“National Security Agency”)

(An history veryprovided of cryptology)

(Enigmaand some tools of cryptanalyse)

(List old references)

(A great quantityof applet java of coding)

(Some algorithms illustrated by programs Javascript)

(Stories on thecode secret, software of cryptography. Site companion of the booksthat the author wrote.)

(Commercial siteproposing many information on cryptography.)

(History of theEnigma decoding in Bletchley Park)

(Very complete presentation of the figures from Antiquity to ourdays)

(A smallcourse of cryptology with much of interactive programs)

(Some figures in Javascript.)

(History of the figures and the codes.)

(Simulatorsof various machines of coding.)

(cryptography element ,machines, files of the 2nd world war, cryptograms.)

lexicon in an amusing way)

(Historical articles, links, but especially of the simulators ofmachines of coding for PC (Enigma, Nema, etc))

on cryptology written in Maple)

3 : 键盘的安全之密码与键盘之间的对抗(图)

键盘安全问题及危害

通过各种黑客技术,黑客可以通过远程控制在用户的电脑中安装记录键盘的程序,这些被称作键盘记录器的工具可以记录用户从键盘输入的所有信息。由于当前黑客技术日趋公然化,以致于即便是黑客初学者也能够轻易地利用这些工具,从而致使用户面临更大的危害。1旦用户的计算机被安装了键盘记录器,用户的个人隐私信息就将被取得,比如在上购物或上银行交易时输入的银行账号、密码。虽然上银行采取了数字证书认证机制,并对传输的数据进行加密,提高了安全等级,但它只能保护传输到络上的数据,对个人用户的电脑是起不到保护作用的。 有了键盘记录器,黑客想要盗取的信息不单单是阅读器上的用户信息,对利用程序,例如游戏和即时聊天工具的账号和密码也是黑客的盗取对象。

要想避免这些关键信息被泄漏,有必要在源头上堵截。下面我们以两个对抗性测试来讲明如何保护从键盘输入的数据。

测试1:窗口键盘记录器 VS 安全键盘

500)this.width=500" title="点击这里用新窗口阅读图片" />

在Windows XP SP2的环境下,使用窗口键盘记录器来记录键盘。运行窗口键盘记录器后,打开记事本,随便输入1些内容,按F12呼出窗口键盘记录器查看内容,发现我们在键盘上输入的内容(包括1些控制键如Shift键)都被记录下来了(如图1)。试想,如果在这个进程中登录了或传奇等络游戏,这些账号和密码就已落到了黑客的手上。

500)this.width=500" title="点击这里用新窗口阅读图片" />

下面我们用安全键盘来对抗窗口键盘记录器。安全键盘这款软件使用独有的键盘安全技术,以软件的方式对Windows内核和驱动内核进行修改,以到达保护键盘安全的作用,避免重要信息被盗取。安全键盘具有1定的软件保护功能。运行安全键盘后,点击界面上的启动安全状态(如图2),程序就进行保护状态了,同时在系统托盘处生成1个“PK”图标,双击它,在弹出的界面中点击“开始”或“停止”按钮便可快速切换键盘保护状态(如图3)。现在运行窗口键盘记录器,依照上面的方法做一样的测试,发现窗口键盘记录器记录的文本内容只有打开窗口的项目,而键盘输入的内容没法记录,成功实现键盘输入的加密。

500)this.width=500" title="点击这里用新窗口阅读图片" />

提示:该软件只能在Windows 2000和Windows XP操作系统下使用,在Windows 98下没法拦截窗口键盘记录器,在Windows 2003中则没法安装。

测试2、窗口键盘记录软件 VS nProtect键盘加密保护技术

其实有的软件会自带键盘加密技术,比如我们常常使用的2005 Beta3版本。还是在相同的环境下测试,运行窗口键盘记录器,再打开2004版,输入用户名和密码登录,按F12呼出窗口键盘记录器查看内容,号码和密码已被成功记录。而换成2005 Beta3后,由于这个版本的具有nProtect键盘加密保护技术,所以窗口键盘记录器没能获得到号码和密码,对抗成功。

键盘安全总结

对没有键盘加密保护技术的利用程序,键盘记录器的威胁将无处不在。为保证个人用户名和密码的安全,用户应当注意操作系统和利用软件的升级,尽可能不要在复杂的公共场所(比如吧)使用上银行等站资源。如果确切需要使用的,建议先安装安全键盘,启动键盘保护后再使用。

4 : 做赚须注意密码安全

近几天,听到1些赚友说他参与的多个赚项目账户被盗了,损失惨痛,被黑客请走了几10刀、上百刀款。询问缘由,估计是参与了垃圾项目,致使注册信息被垃圾站的站长或黑客得悉,然后该黑客去登陆该赚友的其他项目,由于该赚友的赚项目采取1样的注册密码,所以众多好项目都被黑客登陆,黑客登陆后,修改了其注册信息,并请走了该赚友的款项。

教训很深入,做赚,千万要注意络安全,除上电脑的安全外,对各个赚项目的安全也要特别重视。少要做到以下几点:

1. 严格保护银的安全

络银行账户的注册邮箱必须独立出来,使用复杂的密码,不要轻易告知他人;该邮箱除接受银的信息外,不要再作他用,这样基本就可以保证银的安全了。至于参与项目的注册邮箱,可以另外准备1个。

2. 每一个项目登陆密码各不相同

为了注册和管理方便,很多赚友所有的项目都采取一样的用户名和登陆密码,一样的用户名没有问题,这是高效赚的必要做法,但一样的登陆密码则要不得,安全隐患太大。由于1旦1个项目的密码被偷窃了,其他账户也面临被偷盗的危险。所以,不要偷懒,为每个项目都设置不同的登陆密码。这样,1个账户被盗了,也不会危及别的项目。

固然,你可能觉得这样太麻烦,而且项目1多,密码可能就忘记了。怎样办呢? 赚的建议是你可以设置1种密码规则,每一个项目的登陆密码,只要符合该密码规则便可。这样,你只需要记住你的密码规则,就可以知道每一个项目的密码了。这样的好处是每一个项目的密码各不相同,却又都是按你的规则而设置的,项目再多,只要你不忘记密码规则,都能清晰管理。

上述2点,是做赚的良好习惯,也是必须养成的习惯。希望各位新手赚友能做好赚安全的必要工作。

有点盆腔炎怎么办
分泌物增多是怎么回事
得了盆腔炎该怎么办
  • 友情链接
  • 合作媒体