為什麼還要記密碼?
- 2020 年 4 月 6 日
- 筆記
前言
良好的習慣是人生產生複利的有力助手。
2020年第八篇文章,繼續今年的flag:每周至少更新一篇文章。
今天的問題來源於內部的一次分享,關於密碼的存儲問題。
在互聯網時代,大家每天接觸的app和網站太多了,註冊賬戶大部分的場景都需要密碼。
密碼的生成和存儲成為了大家日常生活中常見的事情。
很多朋友面對這樣的情況,一部分朋友的選擇是設置和記憶最多三個以內的密碼,太多實在記不住。有時候密碼還設置的非常弱,比如常見的弱口令 123456,123123等等。另一部分的朋友,則會把每個網站或者app的密碼都分別存到本地,或者同步到雲(網盤或者文檔),用的時候去搜索和複製。
這樣的密碼生成和存儲方式,從安全和易用角度來說都有一定的問題。
一.密碼生成與存儲安全
1. 多應用相似/相同密碼
密碼制度本身因安全需求而生,但是由於密碼的生成和存儲麻煩,用戶為了省事使用同一套密碼,帶來了「撞庫」這類的風險。各種數據和案例也已經證明,「撞庫」攻擊早已日夜相伴於我們的身邊,已極具規模化和專業化。
「撞庫」按中文的字面意思解讀,就是「碰撞資料庫」的意思,「資料庫」中往往存儲著大量敏感數據,比如我們登錄一個網站所需要的用戶名、密碼,再比如手機號、身份證號等個人隱私資訊。撞庫的主要場景是通過已有的帳號密碼列表,通過登陸正常應用的形式,試圖獲取正確的帳號/密碼組合,大白話就是「盜號」。值得注意的是,盜號並不是撞庫攻擊的唯一目的,驗證某個帳號有沒有在一個站點中註冊過也是常見的撞庫目的。
撞庫離我們遠嗎?實際情況如何?事實證明這類例子並不少見。
- 攜程因出現技術漏洞,導致個人資訊、銀行卡cw安全碼等資訊泄漏
- 小米被爆用戶資料泄漏,涉及800萬小米論壇註冊用戶資訊
- 多家快遞公司被爆網站存在漏洞遭入侵,有1400萬條個人資訊被泄漏
- 智聯招聘86萬用戶簡歷泄漏
- 東方航空大量用戶訂單泄漏
- 12306火車訂票網站被人撞庫
隨著近年來物聯網設備的爆炸性增長,導致人們對數據流量的可見性普遍缺乏,從而大大增加了整體威脅面和公司的漏洞。數據泄露事件不斷增加,導致撞庫攻擊成為近年來常用的一種入侵辦法。
2. 密碼的存儲
密碼的存儲方式,在前言的說明中,有朋友則會把每個網站或者app的密碼都分別存到本地,或者同步到雲(網盤或者文檔),用的時候去搜索和複製,這樣也是有問題的。
-
本地存儲的時候,沒辦法多平台同步,在家或者工作地方都用密碼的時候就會很麻煩,易用性較差。
-
雲上同步,比如很多網盤和在線文檔工具,都可以用來存儲密碼,也可以多平台同步,但是無論哪個廠商也無法保證自己的數據永遠不會泄露,而且每次使用密碼,都需要打開存儲密碼的應用搜索查找 感覺很麻煩。
二.用戶側的解決方案
思路
解決密碼生成的安全問題,主要是為了防止撞庫,最好的辦法當然是不同的網站用不同的密碼,而且網站密碼強度要很高,比如密碼中必須要有數字和大小寫字母。
當然這麼多密碼怎麼記?這就涉及密碼的存儲問題,我個人的建議是不要存儲,每次都自動生成,這樣就不用記憶密碼,也不用擔心泄露了。參考 https://github.com/ls0f/pwm 開源項目,給大家提供一下思路:
用戶只需要記一個salt,也就是密碼生成中的「加鹽」策略,不同網站的密碼按照(salt+domain+account)的拼接生成sha1,其中domain為域名,account為賬戶名,然後取sha1的前面15位生成密碼,然後再固定規則轉換大小寫和數字,滿足網站的強密碼要求。
這種方式,只要你的salt安全,你的密碼就會安全。
show code
下面給大家提供Python 和js 的實現方式,大家可以把頁面 部署到自己的VPS或者github Page里,這樣就可以隨意生成密碼了。
Python:
def gen_passwd( raw): if sys.version_info > (3, 0): h = hmac.new(self.key.encode(), raw.encode(), sha1) base64 = b64encode(h.digest()).decode() else: h = hmac.new(self.key, raw, sha1) base64 = h.digest().encode("base64") _passwd = base64[0: self.passwd_length] return _format_passwd(_passwd) def _format_passwd(passwd): # 格式化密碼,必須包含大小寫和數字 self.num_str = "0123456789" self.low_letters = "abcdefghijklmnopqrstuvwxyz" self.upper_letters = "ABCDEFGHIJKLMNOPQRSTUVWXYZ" passwd = passwd.replace("+", '0') passwd = passwd.replace("/", '1') list_passwd = list(passwd) if re.search(r"[0-9]", passwd) is None: list_passwd[-3] = self.num_str[ord(passwd[-3]) % len(self.num_str)] if re.search(r"[a-z]", passwd) is None: list_passwd[-2] = self.low_letters[ord(passwd[-2]) % len( self.low_letters)] if re.search(r"[A-Z]", passwd) is None: list_passwd[-1] = self.upper_letters[ord(passwd[-1]) % len( self.upper_letters)] return ''.join(list_passwd) gen_passwd("salt+domain+account") javascript:
function gen_passwd(key, raw){ var shaObj = new jsSHA("SHA-1", "TEXT"); shaObj.setHMACKey(key, "TEXT"); shaObj.update(raw); var hmac = shaObj.getHMAC("B64"); console.log(hmac); var passwd = hmac.substring(0, 15); console.log(passwd); passwd = passwd.replace("+", '0'); passwd = passwd.replace("/", '1'); console.log(passwd); passwd="abcdefg123789123"; var list_passwd = passwd.split(''); if (!RegExp("[0-9]").test(passwd)){ console.log("[0-9]",passwd[13]); list_passwd[13] = "0123456789"[passwd[13].charCodeAt(0) % 10] console.log("[0-9]",list_passwd[13]); }; if (!RegExp("[a-z]").test(passwd)){ console.log("[a-z]",passwd[14]); list_passwd[14] = "abcdefghijklmnopqrstuvwxyz"[passwd[14].charCodeAt(0) % 26] console.log("[a-z]",list_passwd[14]); }; if (!RegExp("[A-Z]").test(passwd)){ console.log("[A-Z]",passwd[15]); list_passwd[15] = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"[passwd[15].charCodeAt(0) % 26] console.log("[A-Z]",list_passwd[15]); }; // charCodeAt var final_passwd = list_passwd.join(''); console.log(final_passwd); return final_passwd; } 在部署的頁面上試一下,再也不用每次去記憶,搜索密碼了。
三.廠商側的解決方案
一句話,不用傳統的帳號密碼登陸體系,手機登陸,二維碼登陸都挺好。
最後
關注公眾號:七夜安全部落格
回復【1】:領取 Python數據分析 教程大禮包
回復【2】:領取 Python Flask 全套教程
回復【3】:領取 某學院 機器學習 教程
回復【4】:領取 爬蟲 教程
回復【5】:領取 編譯原理 教程
回復【6】:領取 滲透測試 教程
回復【7】:領取 人工智慧數學基礎 教程
本文章屬於原創作品,歡迎大家轉載分享,禁止修改文章的內容。尊重原創,轉載請註明來自:七夜的故事 http://www.cnblogs.com/qiyeboy/
