IT同路人
公众号ID:ittongluren
关注
国外的一个查泄露的网站,你在那些地方泄露过,不能看pass。
链接地址:
https://hacked-emails.com/latest/
说到社工库,现在很流行,数据也越来越庞大、详细,其威胁程度日愈严重 其中威胁最高的就属密码库了,也是数量最大,影响范围最广的 密码库主要来源黑客对网站的攻击,导致网站数据流出。 其中密码形式主要分这几种: 第一种是未加密的明文密码,威胁程度最高,另一种是加密过的密码密文,威胁程度视加 密等级而定,第三种是破译成本很低的密码密文,例如仅一次 MD5,等低强度加密算法, 威胁程度最高,其中无法破译的密文,情况还好点,暂时没什么大的影响 而明文和破译成本很低的就不一样了,用途就不说了吧,大家都懂 如何防御此类攻击,针对已泄露的明文密码来讲。目前防御手段大致有两种: 1、使用一套自己的“抽象密码记忆方案”,相当于一个自己的“密码算法”,一段只有自 己知道是啥意思的字符串,例如:nuyo0w,字符串 WooYun 的变体,从一定程度上来讲, 使攻击者不知所措,但对于高级黑客来讲,还是有可能被猜出来密码规律,最重要的一点, 它还是明文!(更好一点的,将重要密码和一般密码算法分开记忆) 缺点:增加记忆成本,如果多个密码的话,最后会很混乱,而且无法防止高级黑客猜测 2、非记忆密码方案,即使用密码生成器、密匙管理器之类的密码处理工具,需要提供一个 原始密码及盐,生成一个毫无规律的高强度“明文”密码,即使某网站泄露了这个“明文” 密码,除了这个网站之外,黑客无法进行其他任何用途,更猜不出密码规律,使社工库完全 失去存在的意义 优点:程序算法被破解也没用,因为需要提供原始密匙或者盐(保护好你的原始密匙不在任 何地方出现),否则无法生成密文,强度极高!!! 缺点:易用性比较差,因为随时都需要带一个加密程序(做成网页在线版可能好点),没带的 话,没法登陆账户 。
作者:IT同路人
(文章转载请注明来自:IT同路人论坛)
领取专属 10元无门槛券
私享最新 技术干货