密码保护

不要分享密码

admin

尽管在有些公司同事之间分享或共用密码是协同工作的一部分,但是这种做法应该被放弃,原因如下:

  • 您不知道您的密码是否会被再次分享给其他人;
  • 当出现账户滥用事件时,密码的所有者可能需要承担责任,或者没有人承担责任;
  • 密码的设计是用来区分系统用户的,应该保持密码绝对的私密。

安全提醒:

不要将您的密码分享给他人,如果您把密码分享给他人使用,他人可能使用您的身份进行不当的行为,您的信誉可能受到损害,还要为他人的不当行为负责。

关于密码分享的进一步探究

同事间分享密码,当然也包括一些类似密码的,进行用户身份验证的东西,如访问卡、身份验证令牌、以及工作权限,在一些工作单位、一些特定的岗位、特定的情况下是难以避免的,看上去理由似乎也比较充分——可能就某人有某些特定的账号或权限,而其他人只是暂时用一用。

这个若真要严格禁止,就如禁止亲人间分享银行密码一样,可能面临着文化和伦理方面的问题。昆明亭长朗然科技有限公司信息安全管理专员董志军表示:在欧美发达国家,不要分享密码是信息安全意识教育的基本内容之一,因为这些发达国家往往有健全的信息账号与权限管理制度,并且遵守规矩、按规章办事的文化深入人心。如果某人没有相关的系统的访问账号和权限,他/她就会去申请,申请通过得到访问权限后才会去使用,没有账号和权限的话,他/她做不成事儿也没人去责怪。

这事儿如果放到国内某些单位,领导布置一个工作只急急地要结果,而不关心实现过程是否合规,下属是否有访问权限可能搞定。这就让下属不得不变通,即使有正常的账号和权限申请流程,可能也得不到很好的执行。

看,一个关于密码分享的简单话题,竟然有这么多东西方文化的差异在其中,我们不说孰优孰劣,继续探讨有中国特色的密码分享解决之道。笔者看到有些国内大型企业制定了“灵活”的账号权限借用流程,可能会令欧美文明国家信息安全管理者看不懂的。就是在账号借用之后的密码修改,以及更多的如退出借用者的当前登录等等。借个账号和权限,竟然要这么多后续的“安全”补救工作,这想一想真让人无法理解、啼笑皆非。

欧美发达国家喜欢将“牙刷”、“内裤”之类的东西来比做密码,警示用户他们的密码不能被分享。这让国人的那些密码分享者或借用者们情何以堪啊!毕竟想想文化的差异,也就可以理解了。这是个管理和意识的问题,“普世价值”可能并不适合“中国特色”,不过我们可以借鉴一下宣传方法,当然,如果要变革,则需要从企业文化和信息安全文化多个深层次的层面入手。

不管您所在的组织允不允许“分享”密码,我都表示理解。同时我也希望本文的一些分享和探讨能引发您在信息安全密码管理方面的独立思考,而不是简单地否定或肯定。即使您可能觉得某些不好的工作流程和方法,可能也有它们的历史和存在原因。

希望我们的一些建议和倡议能帮助您。昆明亭长朗然科技有限公司致力于提升国民的网络安全认知,为整个人类社会贡献积极的力量。我们的方法是不断设计、开发及制作信息安全意识教育内容资源,包括安全培训动画视频、互动式电子课程、教学小游戏、考题及线上测试平台等等。我们有少量的安全意识培训内容资源可供客户选购。同时,我们积极理解客户的业务目标和安全需求,在此基础上开始定制化创作和交付安全意识培训内容。欢迎联系我们洽谈业务合作事宜。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

密码安全之殇:从银行密钥泄露到暗网交易的危机

admin

引言:信息安全,并非高深莫测的魔法,而是守护我们数字世界的基石。然而,即使是最坚固的堡垒,也可能因为设计上的漏洞或操作上的疏忽而出现裂痕。本文将通过两个引人深思的故事案例,深入剖析信息安全的重要性,揭示常见的安全漏洞,并提供切实可行的安全实践建议。无论您是技术专家还是普通用户,掌握信息安全知识,都是保护自身权益、构建安全数字生活的重要一步。

案例一:银行密钥泄露——“零”的魔力与信任的崩塌

想象一下,一家大型银行的服务器上,存储着数百万客户的金融信息,其中最核心的保护屏障,就是银行的“密钥”。这个密钥就像一把特殊的钥匙,能够加密和解密客户的密码、交易数据等敏感信息。为了确保密钥的安全,银行投入了大量的资金和精力,构建了复杂的安全模块(HSM),并制定了严格的安全策略。

然而,一个精明的黑客,通过对银行安全模块API(应用程序编程接口)的深入研究,发现了一个令人震惊的漏洞。这个漏洞利用了银行安全模块内部的一项看似复杂的特性:允许用户将一个加密的密钥,以另一种加密方式进行再次加密。

这个特性最初是为了方便银行在ATM机上进行线下密码验证而设计的。银行需要将用户的密码验证密钥(PIN)加密后发送到ATM机,以便在没有网络连接的情况下进行验证。为了实现这一目标,银行使用了一种名为“终端主密钥”(Terminal Master Key,KM)的密钥,并使用该密钥对PIN验证密钥进行加密。

然而,黑客巧妙地利用了这一特性,他向银行安全模块提交了一个加密的密钥(例如,一个随机生成的字符串),并将其与终端主密钥(KM)一同提交。银行安全模块按照规定,将这个加密的密钥,以终端主密钥(KM)加密的方式,再次加密了一遍。

结果,黑客得到了一个全新的密钥,这个密钥与他最初提交的密钥相同,但却被终端主密钥(KM)加密了。由于终端主密钥(KM)的特性,这个加密后的密钥实际上是“零”密钥(一个所有位都为零的密钥)加密的结果。

更令人难以置信的是,银行安全模块还提供了一个功能,允许用户将任何已加密的密钥,以另一个密钥加密。黑客利用这个功能,将银行的PIN验证密钥加密后,再用“零”密钥加密,最终得到了一个与原始PIN验证密钥相同,但被“零”密钥加密后的密钥。

这相当于黑客成功地获得了银行的“命根子”——客户的密码验证密钥,并且这个密钥现在还被“零”密钥加密了。

有了这个密钥,黑客就可以轻松地解密客户的密码验证密钥,从而获取所有客户的账户信息,甚至可以模拟客户进行交易。银行的保护屏障彻底崩溃,客户的资金安全面临着巨大的威胁。

这个案例深刻地揭示了一个重要的信息安全原则:安全系统的设计必须简单、清晰,避免不必要的复杂性。 复杂的系统往往隐藏着更多的漏洞,而看似无用的功能,也可能成为攻击者的突破口。

案例二:VISA模块的“生日攻击”——时间与计算的博弈

VISA模块,作为全球最大的支付网络之一,其安全性至关重要。然而,即使是像VISA这样规模庞大的系统,也并非免疫于黑客的攻击。

Mike Bond,一位年轻的安全研究员,通过对VISA模块API的深入分析,发现了一个利用“生日攻击”(Birthday Attack)的漏洞。

“生日攻击”是一种概率性的攻击方法,其原理类似于生日悖论。在一定数量的人中,找到两人生日相同(或具有特定特征)的概率远高于我们想象的。

在VISA模块的场景中,黑客可以向系统提交大量的终端主密钥(KM),并计算每个密钥的“检查值”(Check Value)。检查值是通过将一个字符串(例如,一个随机生成的字符串)加密后得到的。

黑客将所有计算出的检查值存储在一个哈希表中。然后,黑客可以猜测一个密钥,并将其与一个固定的测试模式(Test Pattern)一同加密,计算出相应的检查值。

如果这个计算出的检查值在哈希表中存在,就意味着黑客成功地找到了一个与目标密钥相同的密钥。

根据生日攻击的原理,如果黑客能够生成足够多的密钥,那么找到目标密钥的概率将大大增加。例如,如果密钥空间为256位,黑客需要尝试大约2128个密钥才能找到目标密钥。然而,如果黑客能够生成2128个目标密钥,那么只需要尝试2128/2128 = 1次就能找到目标密钥。

这个攻击方法被称为“生日攻击”,因为它利用了概率统计的原理,通过大量的尝试来提高攻击的成功率。

更令人担忧的是,Mike Bond还发现了一个更隐蔽的漏洞:VISA模块存在密钥复制的错误。这意味着,黑客可以通过某种方式将一个密钥复制到系统中,从而绕过系统的安全保护。

这个漏洞结合了“生日攻击”和密钥复制,使得黑客能够以极低的成本,破解VISA模块的密钥,从而获取用户的支付信息。

这个案例再次提醒我们,信息安全并非一劳永逸,需要持续的关注和改进。 即使是经过严格测试和认证的系统,也可能存在潜在的漏洞。我们需要不断地进行安全评估、漏洞扫描和渗透测试,以确保系统的安全性。

信息安全意识:守护数字世界的责任与担当

这两个案例,只是冰山一角。在数字时代,信息安全问题无处不在,从个人隐私到国家安全,都面临着巨大的威胁。

那么,我们应该如何提高信息安全意识,保护自身权益呢?

  1. 使用强密码: 密码是保护账户安全的第一道防线。使用包含大小写字母、数字和符号的复杂密码,并定期更换密码。
  2. 启用双因素认证: 双因素认证可以增加账户的安全性,即使密码泄露,攻击者也无法轻易登录。
  3. 警惕网络钓鱼: 网络钓鱼是一种常见的攻击手段,攻击者会伪装成合法机构,诱骗用户提供个人信息。
  4. 安装杀毒软件: 杀毒软件可以帮助我们防御病毒、木马等恶意软件的攻击。
  5. 及时更新软件: 软件更新通常包含安全补丁,可以修复已知的安全漏洞。
  6. 谨慎点击链接: 不要轻易点击不明来源的链接,以免感染恶意软件或泄露个人信息。
  7. 保护个人隐私: 在社交媒体上分享个人信息时要谨慎,避免泄露敏感信息。
  8. 学习安全知识: 持续学习信息安全知识,了解最新的安全威胁和防御方法。

结语:

信息安全,是一场永无止境的战争。只有我们每个人都提高安全意识,积极参与到信息安全保护中来,才能共同构建一个安全、可靠的数字世界。记住,安全不是一个选项,而是一个责任,一个我们都必须承担的责任。

信息安全是企业声誉的重要保障。昆明亭长朗然科技有限公司致力于帮助您提升工作人员们的信息安全水平,保护企业声誉,赢得客户信任。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898