密码存储与用户认证策略 专题
从2011年12月的让用户认识到隐私安全的“拖库门”事件,到2014年12月中国铁路12306网站用户信息泄露,都为大众所关注。在各类安全隐患中,最引人注目、对用户危害最大的一类,无疑是帐户本身的安全问题。近年的多起事件,都为这类安全隐患所带来的后果提供了有力佐证。从影响范围看,大型网站往往有百万以上甚至上亿的帐户。当这些帐户和相关密码被泄露,影响范围并不逊色于历史上那些标志性的恶意代码。当这些帐户被用于跨站点、跨服务的关联性攻击和社会工程学攻击,就不仅仅是这些用户在那个特定网站面临问题了。他们在所使用的其他所有互联网服务都面临被攻击的威胁。在现实中,我们也确实看到这种关联攻击成为一种主流趋势,它们与APT攻击的结合也成为可能。
因此,这类安全事件产生的影响范围将远超出预计。针对早前的“拖库事件”,安天则从多个方面采取了行动:我们总结和分析了当前网络服务所广泛使用了多种密码存储和用户认证策略,介绍和讨论了这些方法在当前面临的真实攻击技术,我们特别详细介绍了新的计算技术和攻击技术对传统算法带来的威胁可能;我们还分析了在这种帐户安全问题上多年以来存在的多种错误理解和观点,解释了这些理解和观点的不当之处,并介绍了这些不当可能带来的隐患;我们还统计了此前多次事件中泄露的数据,分析目前国内用户使用密码的习惯等,为网站系统设置密码安全限制提供参考,也为用户选择密码给出了建议;我们介绍了目前依然相对安全的方案,并建立了一个用于演示这种方案的开源项目APM,用PHP、Python和Ruby三种语言实现了这种方案的一个演示原型。
为此,我们将之前的一些关于“密码存储与用户认证策略”方面的文章列出,希望与安全界同仁与爱好者共享。
身份认证是一个古老的话题,从最早的户籍造册,到今天的二代身份证或社会保险号码,“我是谁”或“他是谁”的问题贯穿着整个人类社会的发展。 身份认证的历史,是辨识方式演进的历史。辨识可能是基于个体,如悬赏缉拿、画影图形;也可能是针对群体,比如两军对垒,要身着不同 ……
Antiy Password Mixer(APM)是安天针对当前拖库等安全威胁发布的一套安全算法应用范例。其适用于中小规模的BBS、SNS、留言板、网页游戏等常见的WEB应用,以及其他可能通过网页进行用户注册、认证与密码管理的网站应用场景。APM面向WEB应用的规划、开发和维护者使用,可以解决 ……
讲到破解对抗问题,要从攻防两方面所拥有的资源说起。之前我们基于一台普通的戴尔笔记本进行了一个小测试:在笔记本里装了一个虚拟机进行相应的Hash次数计算,发现这么普通设备里的虚拟系统,大概每秒钟可以完成50万次以上的标准MD5散列计算,这个结果得益于摩尔定律 ……
作为WEB应用密码存放示范程序的AntiyPassword Mixer开源发布之后,我们陆续收到微博私信、电子邮件等。令人觉得有些意外的是,希望我们评价其现有加密方式是否合理的网友,要比对APM本身设计提出意见的多。出现这种情况的原因很好理解——WEB应用的最大压力有时并不来自开发,而在于保证业务 ……
在数据爆炸的今天,我们经常说“宇宙一般的海量数据”,对宇宙的研究需要不断地观察与总结。此次泄漏事件,到编写本文时据说已经有近30个用户数据库、超过20亿用户帐号信息在网上流传。此次分析仅是选取了其中较易获取到的一部分数据。在进行统计之前 ……
从去年的索尼泄露用户信息的风波,到今年的CSDN、天涯密码泄露事件,无不引发了用户的口令恐慌。由于大量用户一号通用,密码泄露不仅威胁到其在具体站点的安全,也关联影响到了其网银、网游、IM等关联环节的安全。这导致被“脱裤”攻击的网站的声誉受到极大影响,有些网站更因此 ……
我不得不惨痛地写在前面的是,这是一个安全崩盘的时代。在过去一年,已经证实遭遇入侵的、并导致关键数据被窃或者被泄露的公司,包括索尼、世嘉这样的大型游戏设备厂商,包括花旗银行这样的金融机构,也包括了RSA这样的安全厂商。 这些事件中最令业界瞠目的是RSA的被入侵,这导致 ……