关于密码——你们不知道的很多事情

标签: 其他 | 发表时间:2011-12-22 23:32 | 作者:shell
出处:http://shell909090.com/blog

1.hash密码安全么?
    只要你的原始密码不大复杂,hash密码也完全没有安全性可言。不信?echo 'abc' | md5sum,去 www.cmd5.com,看看有没有。同样,拿你自己的密码试试看?

2.国内哪些网站不是明文密码。
    我说出来你信么?再说,配合1,这个问题重要么?一次一密,经常修改才是王道,长度和频率看这篇文章《 密码管理规范》。另外,现在记得去公布出来的密码表里面搜一下自己的密码。

3.一次一密就安全了么?
    差了远了去了。你有没有在别人机器上登录的经历?你可以信任他么?你自己家里装的一堆插件你都相信么?你确定他们对你的银行密码没有兴趣?你要知道,银行开发安全插件的人和做恶意插件的人是同一个圈子的人——不会攻击就不能防范么。而且我们阴谋论一点说,你就确定这些软件商没有接到上级指令要求加入后门?现在你还敢在自己家里的机器上装中国软件么?QQ,迅雷,这些都算大软件,看着的人比较多。你自己可以搜他们抓你行为上传的文章——用谷歌搜。其他小站点的各种软件呢?你装了多少?
4.还有哪些比较低级的情况?
    当年,有一个网站,提供一个功能。你可以在他的网站上直接登录其他邮箱。相信我,这可比这次的问题严重多了,那可是一收集一批阿。
5.为什么我以前都不知道?
    要和你说我们有安全问题,你还用不用了?
    再说我和很多人说起过这些问题,他们当年的态度都是——没关系,反正没人会对我的信息感兴趣的。我估计这次,还有不少人会说——没关系,反正我没有CSDN帐号/人人网上面的数据看到就看到咯。
    很多人第一次知道安全问题的严重性,都是在他们丢了钱之后。往往都是莫名其妙,钱怎么丢的?
6.那银行呢?
    银行还是相对安全的,不过你要确认银行有以下几个功能。登录失败警告功能。五次登录失败自动锁定账户,要隔天由本人解锁,解锁后最好强制更换密码。关闭网银和电话银行功能,不拿着本人身份证经过24小时以上申请不能打开。密码丢失需要一周以上的时间才允许重设。大额取款通知用户功能。
    听上去很麻烦?通常来说,越麻烦的银行越安全。以上功能都有了,并且使用了,那么银行本身而言,还是比较安全的。
7.可是我要用网银。
    那你用U盾,而且不要用水货版的。我07年选择招行的理由是,招行是唯一当时我觉得没有安全问题的银行。现在这个列表应该加入浦发,并成为首选——对linux友好而且不容易破解。但是不要用只有手机动态密码的模式。
    有些U盾就是密码文件隐秘的放入的一个U盘,这种U盾我都可以复制出一堆来。用上这种U盾,最多满足你自己的心理因素。
    而且,更好的方法是对信用卡申请网银,而银行卡关闭(如果银行支持的话)。这样的话损失最大不超过一张信用卡可用额度,我目前的信用卡而言,最多一次损失几千——总好过几万的学费吧。同类的思路可以选择支付宝,你一次打个1000进去可以用一阵,丢了只有这1000。
8.你知道U盾的正确用法么?
    U盾应该在需要的时候才插上去,用完立刻拔出。虽然说不像拆炸弹,不过还是插入时间越短越好。
    因为很偶尔的情况下,入侵者刚好在看你的电脑。发现U盾后,可以指挥你完成登录的网银系统进行交易。但是网银交易必须以U盾为基础,拔掉他们就干不了坏事了。
9.为什么手机不是安全设备。
    手机安全是相对的,只能说比电脑安全。你以为手机就安全?首先,智能机上面已经满足了恶意软件存在的基础。例如小米——虽然我很喜欢他——你确定雷布斯没有在小米里面加入后门,截取你的密码再偷偷转发?现在没有——以后呢?同样,你确定你信得过苹果?将来苹果也不会出现安全漏洞?
    即使退一步说,你的手机很安全。来,把手机给我,不要看它,然后告诉我,手机里有多少软件可以读取你的本机信息,有多少可以读取短信?即使是完全安全的系统,我只要写个小游戏,号称因为需要短信分享,需要操作你的短信。你会怀疑么?我趁着你不注意,读取你的手机,和泄露出来的卡号-手机信息交叉比对。对你的卡号申请动态密码,然后让我的程序偷偷的拦下来短信 ,不让你知道,发送到服务器端。你是不是丢钱丢的莫名其妙?
    相信这条写到这里,九成九的用智能机的朋友已经满脸汗了——妈的这些程序能读取我的银行卡动态密码?技术上说,真可以。
    普通手机用户也别高兴,我没记错的话,GSM协议已经被破解了。就是说,我可以在你旁边拿个设备直接接受你能收到的短信。这TMD叫安全设备?
10.那你说的keepass?
    这东西能在手机和电脑上运行,就肯定不安全。数据文件放在硬盘上的时候没问题,即使入侵者拿到也没办法。但是你输入密钥的时候有keylogger就完蛋了。
    所以我只在linux和android上用,虽然android不安全,但是目前我还不知道有keylogger。
11.妈的,我还有什么安全的。
    这个真没有,RMS说过,安全是个笑话。让用户来完成安全更是笑话中的笑话。当然,没有用户的安全意识,银行/网站再努力也没用。但是本质上说,应当以侵犯隐私去起诉泄密单位,而且应该打下来是巨额赔偿。
    然后这个事情就会变成,各家单位纷纷表示,我们不对免费用户的信息安全负责,并且推出免责条款。然后又是扯不清的糊涂帐——如同我们今天的EULA一样。
    只是在景德镇,你连操作第一步的机会都没有。还是用脚投票,放弃一些实在不安全的公司吧。例如业界很知名的某个做恶意软件出身的公司,还有某个买了这个公司的前身的大搜索软件商。某个以动物作为Logo的公司,还有被国家大哥曝光多次的某家公司。凡是业界已经臭了名声的,最好都别用。
12.日子还过不过了?
    淡定,我明天还会写一篇,你要注意的东西。虽然不说一定安全,不过普通用用问题不大的。

相关 [密码 知道] 推荐:

关于密码——你们不知道的很多事情

- - shell's home
    只要你的原始密码不大复杂,hash密码也完全没有安全性可言. echo 'abc' | md5sum,去 www.cmd5.com,看看有没有. 2.国内哪些网站不是明文密码. 一次一密,经常修改才是王道,长度和频率看这篇文章《 密码管理规范》. 另外,现在记得去公布出来的密码表里面搜一下自己的密码.

oracle 忘记密码

- - Oracle - 数据库 - ITeye博客
Oracle一段时间不用了,再登录就登不上去,真乃怪哉,不止俺一人出现此问题,先不问为什么出现这个现象,解决这个问题应急先,网上搜罗解决办法,. ORA-01017 invalid username/password;logon denied" (密码丢失解决方案). 1、先确认是否输错 用户名和密码.

Amazon密码找回记

- lszhao - 白板报
【核心提示】越来越多的美国互联网服务公司使用电话作为终极的客服沟通方式,而这些呼叫中心往往建在印度,这意味着中国用户如果想解决技术难题,必须苦练口语和听力. 自从买了Kindle电子书,我成了亚马逊的忠实用户. 亚马逊虽然在使用条款中规定,电子书只针对美国用户销售,并且只接受美国信用卡,但实际操作中有简单的变通手段.

正确重置MySQL密码

- xxg - 火丁笔记
谁都不想弄丢家门钥匙,但不管多么小心,时间长了,这样的事情总会发生几次. MySQL密码也是一样,把它写在文档上不太安全,记在脑子里又难免会忘记. 如果你忘记了MySQL密码,如何重置它呢. 首先停止MySQL服务,然后使用skip-grant-tables参数启动它:. 此时无需授权就可以进入到MySQL命令行,使用SQL重置MySQL密码:.

小心输入Gmail密码

- Eneri - 张磊的blog
最近在使用gmail时,会遇到原本登录的情况下还会提示输入用户名密码的情况. 感觉蹊跷就检查了一下页面源代码,果然是钓鱼行为. 我用gmail都是直接点击Google工具栏的按钮,但在家里和公司的电脑都会被劫持,特别地,家里在用Mac公司是Windows,不可能同时中了一样的木马. 应该是运营商(两边的网络都是北京联通)做了手脚问题出在网络上.

密码背后的科学

- edith - Solidot
微软MVP Troy Hunt上月分析了索尼用户密码习惯,发现:用户使用的密码长度很短,多为6到10个字符;十分简单,不到1%的人使用非字母数字字符;可以预测,超过三分之一的密码是字典中的常见单词. 现在,他进一步研究了人们选择密码背后的依据.

“忘记密码”之后

- 非狐外传 - 互联网的那点事...
昨天把各大网站(Google、facebook、QQ、taobao、支付宝、百度、豆瓣、网易)找回密码的功能试用了一遍,大同小异,整体基本遵循如下流程:. 话术上Google使用的是“无法访问您的账户吗. ”,腾讯使用的是“找回密码”,其他均为“忘记密码. 个人认为Google的说法更为准确,QQ的“找回密码”操作其实是“重设密码”的过程,并非找回原来的密码.

密码管理规范

- cong - shell's home
    下面是贝壳自己总结的密码管理规范,大家可以参考一下. 网络密码通常很难暴力攻击,尝试速度受到网络限制,而且尝试一定次数后还可能被管理员发现. 而本地密码则相对比较容易攻击,我假定本地密码攻击可以达到每秒测试2^30个密码. 密码长度推定使用如下计算方式. 使用年数乘以攻击频率,得出攻击者在密钥使用期限内能尝试的最大次数.

有生命的密码

- Adam - Solidot
研究人员发明了一种新型密码,利用细菌传递机密信息,这种细菌会在特定条件下发光. 除了用于间谍活动外,这项技术可以让企业给农作物、种子,或其它有生命的物品编码秘密的身份信息. 美国国防部高级研究计划署(DARPA)几年前邀请研究人员提出不需要电的秘密信息编码的方法. 麻省塔夫斯大学的化学家David Walt和同事考虑使用细菌.

登录密码与HTTP Request

- - 博客园_首页
我们知道,在一些主流的浏览器中按F12,就会拉出一个查看web访问详细信息的窗口,在firefox中叫firebug,在chrome或者IE中,则叫developer tools,他们功能都大同小异,当然,比较重要的自然是查看http request与response, 幸运的是,这三个工具都把其放在一个叫Network的tab下面,虽然显示格式略有不同,但基本信息都是一样的.