前言
良好的習慣是人生產生復利的有力助手。
2020年第八篇文章,繼續今年的flag:每周至少更新一篇文章。
今天的問題來源於內部的一次分享,關於密碼的存儲問題。
在互聯網時代,大家每天接觸的app和網站太多了,注冊賬戶大部分的場景都需要密碼。
密碼的生成和存儲成為了大家日常生活中常見的事情。
很多朋友面對這樣的情況,一部分朋友的選擇是設置和記憶最多三個以內的密碼,太多實在記不住。有時候密碼還設置的非常弱,比如常見的弱口令 123456,123123等等。另一部分的朋友,則會把每個網站或者app的密碼都分別存到本地,或者同步到雲(網盤或者文檔),用的時候去搜索和復制。
這樣的密碼生成和存儲方式,從安全和易用角度來說都有一定的問題。
一.密碼生成與存儲安全
1. 多應用相似/相同密碼
密碼制度本身因安全需求而生,但是由於密碼的生成和存儲麻煩,用戶為了省事使用同一套密碼,帶來了“撞庫”這類的風險。各種數據和案例也已經證明,“撞庫”攻擊早已日夜相伴於我們的身邊,已極具規模化和專業化。
“撞庫”按中文的字面意思解讀,就是“碰撞數據庫”的意思,“數據庫”中往往存儲着大量敏感數據,比如我們登錄一個網站所需要的用戶名、密碼,再比如手機號、身份證號等個人隱私信息。撞庫的主要場景是通過已有的賬號密碼列表,通過登陸正常應用的形式,試圖獲取正確的賬號/密碼組合,大白話就是“盜號”。值得注意的是,盜號並不是撞庫攻擊的唯一目的,驗證某個賬號有沒有在一個站點中注冊過也是常見的撞庫目的。
撞庫離我們遠嗎?實際情況如何?事實證明這類例子並不少見。
- 攜程因出現技術漏洞,導致個人信息、銀行卡cw安全碼等信息泄漏
- 小米被爆用戶資料泄漏,涉及800萬小米論壇注冊用戶信息
- 多家快遞公司被爆網站存在漏洞遭入侵,有1400萬條個人信息被泄漏
- 智聯招聘86萬用戶簡歷泄漏
- 東方航空大量用戶訂單泄漏
- 12306火車訂票網站被人撞庫
隨着近年來物聯網設備的爆炸性增長,導致人們對數據流量的可見性普遍缺乏,從而大大增加了整體威脅面和公司的漏洞。數據泄露事件不斷增加,導致撞庫攻擊成為近年來常用的一種入侵辦法。
2. 密碼的存儲
密碼的存儲方式,在前言的說明中,有朋友則會把每個網站或者app的密碼都分別存到本地,或者同步到雲(網盤或者文檔),用的時候去搜索和復制,這樣也是有問題的。
-
本地存儲的時候,沒辦法多平台同步,在家或者工作地方都用密碼的時候就會很麻煩,易用性較差。
-
雲上同步,比如很多網盤和在線文檔工具,都可以用來存儲密碼,也可以多平台同步,但是無論哪個廠商也無法保證自己的數據永遠不會泄露,而且每次使用密碼,都需要打開存儲密碼的應用搜索查找 感覺很麻煩。
二.用戶側的解決方案
思路
解決密碼生成的安全問題,主要是為了防止撞庫,最好的辦法當然是不同的網站用不同的密碼,而且網站密碼強度要很高,比如密碼中必須要有數字和大小寫字母。
當然這么多密碼怎么記?這就涉及密碼的存儲問題,我個人的建議是不要存儲,每次都自動生成,這樣就不用記憶密碼,也不用擔心泄露了。參考 https://github.com/ls0f/pwm 開源項目,給大家提供一下思路:
用戶只需要記一個salt,也就是密碼生成中的“加鹽”策略,不同網站的密碼按照(salt+domain+account)的拼接生成sha1,其中domain為域名,account為賬戶名,然后取sha1的前面15位生成密碼,然后再固定規則轉換大小寫和數字,滿足網站的強密碼要求。
這種方式,只要你的salt安全,你的密碼就會安全。
show code
下面給大家提供Python 和js 的實現方式,大家可以把頁面 部署到自己的VPS或者github Page里,這樣就可以隨意生成密碼了。
Python:
def gen_passwd( raw):
if sys.version_info > (3, 0):
h = hmac.new(self.key.encode(), raw.encode(), sha1)
base64 = b64encode(h.digest()).decode()
else:
h = hmac.new(self.key, raw, sha1)
base64 = h.digest().encode("base64")
_passwd = base64[0: self.passwd_length]
return _format_passwd(_passwd)
def _format_passwd(passwd):
# 格式化密碼,必須包含大小寫和數字
self.num_str = "0123456789"
self.low_letters = "abcdefghijklmnopqrstuvwxyz"
self.upper_letters = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
passwd = passwd.replace("+", '0')
passwd = passwd.replace("/", '1')
list_passwd = list(passwd)
if re.search(r"[0-9]", passwd) is None:
list_passwd[-3] = self.num_str[ord(passwd[-3]) % len(self.num_str)]
if re.search(r"[a-z]", passwd) is None:
list_passwd[-2] = self.low_letters[ord(passwd[-2]) % len(
self.low_letters)]
if re.search(r"[A-Z]", passwd) is None:
list_passwd[-1] = self.upper_letters[ord(passwd[-1]) % len(
self.upper_letters)]
return ''.join(list_passwd)
gen_passwd("salt+domain+account")
javascript:
function gen_passwd(key, raw){
var shaObj = new jsSHA("SHA-1", "TEXT");
shaObj.setHMACKey(key, "TEXT");
shaObj.update(raw);
var hmac = shaObj.getHMAC("B64");
console.log(hmac);
var passwd = hmac.substring(0, 15);
console.log(passwd);
passwd = passwd.replace("+", '0');
passwd = passwd.replace("/", '1');
console.log(passwd);
passwd="abcdefg123789123";
var list_passwd = passwd.split('');
if (!RegExp("[0-9]").test(passwd)){
console.log("[0-9]",passwd[13]);
list_passwd[13] = "0123456789"[passwd[13].charCodeAt(0) % 10]
console.log("[0-9]",list_passwd[13]);
};
if (!RegExp("[a-z]").test(passwd)){
console.log("[a-z]",passwd[14]);
list_passwd[14] = "abcdefghijklmnopqrstuvwxyz"[passwd[14].charCodeAt(0) % 26]
console.log("[a-z]",list_passwd[14]);
};
if (!RegExp("[A-Z]").test(passwd)){
console.log("[A-Z]",passwd[15]);
list_passwd[15] = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"[passwd[15].charCodeAt(0) % 26]
console.log("[A-Z]",list_passwd[15]);
};
// charCodeAt
var final_passwd = list_passwd.join('');
console.log(final_passwd);
return final_passwd;
}
在部署的頁面上試一下,再也不用每次去記憶,搜索密碼了。
三.廠商側的解決方案
一句話,不用傳統的賬號密碼登陸體系,手機登陸,二維碼登陸都挺好。
最后
關注公眾號:七夜安全博客
回復【1】:領取 Python數據分析 教程大禮包
回復【2】:領取 Python Flask 全套教程
回復【3】:領取 某學院 機器學習 教程
回復【4】:領取 爬蟲 教程
回復【5】:領取 編譯原理 教程
回復【6】:領取 滲透測試 教程
回復【7】:領取 人工智能數學基礎 教程
本文章屬於原創作品,歡迎大家轉載分享,禁止修改文章的內容。尊重原創,轉載請注明來自:七夜的故事 http://www.cnblogs.com/qiyeboy/