說到社工庫,現在很流行,數據也越來越龐大、詳細,其威脅程度日愈嚴重。
其中威脅最高的就屬密碼庫了,也是數量最大,影響范圍最廣的。
密碼庫主要來源就不說了,各種拖庫……
第一種是未加密的明文密碼,威脅程度最高。(不得不說這種儲存明文密碼的站點有多么的二逼!更可悲的是這種站點有很多!!)
另一種是加密過的密碼密文,威脅程度視加密等級而定。
第三種是破譯成本很低的密碼密文,例如僅一次MD5,等低強度加密算法,威脅程度最高。
其中無法破譯的密文,情況還好點,暫時沒什么大的影響。
而明文和破譯成本很低的就不一樣了,用途就不說了吧,大家都懂。
本帖,討論,如何防御此類攻擊,針對已泄露的明文密碼來講。
1、使用一套自己的“抽象密碼記憶方案”,相當于一個自己的“密碼算法”,一段只有自己知道是啥意思的字符串,例如:nuyo0w,字符串 WooYun 的變體,從一定程度上來講,使攻擊者不知所措,但對于高級黑客來講,還是有可能被猜出來密碼規律,最重要的一點,它還是明文!(更好一點的,將重要密碼和一般密碼算法分開記憶)
缺點:增加記憶成本,如果多個密碼的話,最后會很混亂,而且無法防止高級黑客猜測。
2、非記憶密碼方案,即使用密碼生成器、密匙管理器之類的密碼處理工具,需要提供一個原始密碼及鹽,生成一個毫無規律的高強度“明文”密碼,即使某網站泄露了這個“明文”密碼,除了這個網站之外,黑客無法進行其他任何用途,更猜不出密碼規律,使社工庫完全失去存在的意義。
優點:程序算法被破解也沒用,因為需要提供原始密匙或者鹽(保護好你的原始密匙不在任何地方出現),否則無法生成密文,強度極高!!!
缺點:易用性比較差,因為隨時都需要帶一個加密程序(做成網頁在線版可能好點),沒帶的話,沒法登陸賬戶。