沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

对抗中间人(MITM)攻击:微软考虑在IE中引入新的防护机制

微软正在考虑引入public-key pinning机制,以抵御针对IE的中间人(MITM)攻击。Public-key pinning作为一项对HTTP的拓展,由Google安全工程师今年10月递交给了互联网工程任务组(Internet Engineering Task Force, IETF)。 这项机制能够保护用户防御伪造证书引起的MITM中间人攻击,大部分的中间人攻击也正是基于伪造证书。攻击者会用伪造的或者窃取到的证书获取用户浏览器的信任,从而使得用户误把攻击者的恶意网站当成正规的网站。 Public-key pinning机制之所以能够防御中间人攻击,是因为这项机制允许网站详细说明网站的有效证书是哪一家CA发行的,不再随便接受证书管理器内的数百家Root CA之一发行的证书,也就是把某个证书认证机构(CA)发行的一组公钥与某个域名绑定起来。采用这项机制后,如果用户访问的网站与绑定的公钥不符,浏览器就会拒绝加密连接。 浏览器支持 想要采用这个机制,首先浏览器得先要支持它。Google Chrome已经支持public-key pinning,而今年9月发行的Mozilla Firefox 32,也已经包含PKP功能。而现在微软也正在考虑要在IE浏览器中引入这项机制。 MITM中间人攻击的方式各种各样,但众多攻击中,最关键的一点是使用伪造的证书。为了让用户浏览器信任攻击者控制的网站,攻击者会使用伪造的或者窃取的证书。这种手法非常常见,而最近这种技术经常出现在一些比较知名的攻击中。 近年来知名的MITM中间人攻击事件 2011年,攻击者窃取了荷兰证书认证机构(CA)DigiNotar的证书并私自颁发了众多知名网站的证书,包括Google, Yahoo和Mozilla基金会的证书。 2011年3月,攻击者又窃取了Comodo的证书,颁发了Mozilla, Skype和Yahoo域名的证书。 而今年中国也发生多起中间人攻击事件: 微软账号系统遭遇大规模SSL中间人攻击 国内iCloud服务器遭遇中间人攻击,中国苹果用户隐私不保 根本停不下来:Yahoo在中国遭遇SSL中间人攻击 [参考来源threatpost,Sphinx翻译,转载请注明来自Freebuf.COM]

涨姿势:如何让你的Google账户更安全

如果你使用Gmail作为你主要的电子邮件,或者长期依赖于谷歌提供的服务,再或者你是“Google脑残粉”……那么这篇文章就值得你来读读。本文将指导你重新审视并重新设置一下你的谷歌账户,以提升你的谷歌账户的安全。 虽然大谷歌没有像Facebook那样,嗅觉敏感而且手脚勤快地更新安全页面,但是呢,Google这里还是有一些额外的安全措施可以加强你的个人信息安全,并且是你长期以来没注意到的,不信往下看! 先简单举例,如谷歌现在内置的一个两步安全认证方法,谷歌帐户提供的一个特色功能——允许用户当即判定哪些应用程序和服务可以访问他们的数据,由此增加了用户自主判定软件安全性的权限。 查看哪些应用程序和服务能够访问您的数据 谷歌帐户的设置页面提供了一个非常有用的方法来跟踪哪些应用程序和服务访问了你Google帐户里的数据。也许其中就藏有令你吃惊的莫名访问呢! 通常情况下,邮件客户端,比如Google Drive服务,谷歌自己的应用程序肯定能够访问这个数据的。但是呢,有时候一些与Google账户相关联的在线游戏却也可以访问它! 所以就应该来个页面提供这些游戏应用的细节,以及它们需要访问的数据。 如果它是一个你认识的APP,但不再使用了;亦或情况更糟一点,一个你完全不认识的APP,那么在这些情况下,你可以果断撤销其直接从该页面访问数据的权限。 确保没有人登录到您的帐户 谷歌一个最让人“安心”的特色功能是我们能看谁登录过您的帐户, 并且是从哪里登陆的——在网页浏览器Gmail页面的左下角,打开一个窗口能弹出所有你需要的信息。 如果你担心你已经被黑客入侵了,或有有设备权限被盗,这个页面是查清盗贼的伟大第一站——你可以立刻登出所有其他电脑会话,然后速度更改你的密码。 对于任何担心谷歌的安全用户们,你还可以查看登陆你账户的黑客的IP地址——这有助于追踪任何有疑点的登录(可是代理,VPN什么的就不好追踪了= =)。 登录的页面还提供了详细的设备类型,在线时间长短,是否仍然是活跃的等等信息,想必在意的大大们都知道这些功能,不知道的就要注意下,提升您的账户安全,今天和你说了,就莫等亡羊补牢咯! 建立两步验证 来谈谈谷歌的两步验证吧,如你所见,Google的两步验证方法提供了一个良好的第二道防黑策略,这注定是一个受青睐的功能选项,如果你从一台新电脑登录google,那么就只需要验证第二步。 谷歌的系统安全还有许多有代表性的方法,比如给手机提供验证码信息(老生常谈吗?= =),比如自动调用,又比如通过一个专门的USB密钥等提供了银行级别的安全有木有! 确保你没有过多使用Google+ 首先要说的,Google +页面可能不属于你主要的社交网络,但是谷歌已经将它打造成为了一个世界上任何人都可找到你的资源节点,所以同样值得重新审视一下你的个人资料,以确保你向世界呈现的是一个潇洒/漂亮的自己哦。 所以它依然值得你控制一下哪些Google +的用户可以由此联系你。如果你锁了你的“好友圈”而不是放任自流的默认值,那么你就会更少受到受到垃圾邮件和不良网络分子的干扰。 管理你的谷歌商店 谷歌依赖于谷歌的adwords将用户作为广告目标播广告以盈利,搜索引擎上面会出现文本广告,或者发送给用户的Gmail邮件里也有广告。这些信息一般是在谷歌服务从YouTube搜索得到的。 你可以通过你的谷歌仪表盘设置里决定哪个google服务的信息可以存储,哪些不要存储。 还有一些关键的管理位置信息服务 ,它可以存储一个详实的历史资料,比如你在哪里使用过Android设备,你使用的Chrome浏览器历史(这是单独的web浏览历史,它将在任何你打开的并登陆了Chrome的设备上自动运行记录)。 值得庆幸的是,谷歌本身提供了对软件如何工作的等问题的清晰解释,不希望自己被网络跟踪的用户可以自己注意一下谷歌的Tools列表页面。 本次关于Google安全的浅析到此为止,关注网络安全,关注FreeBuf.COM= = [参考信息来源WLS,编译/凌晨几度i,转载请注明来自FreeBuf.COM,谢谢~]

iOS平台个人网银APP的安全测试报告

  Personal banking apps leak info through phone By Ariel Sanchez  几年来我一直在阅读有关家庭银行应用程序的缺陷,但我很怀疑。老实说,当我开始研究我不指望能找到任何有意义的结果。 我们的目标是执行黑盒和静态分析全球移动家庭银行应用程序。本研究使用iPhone / ipad设备测试前60大全球最具影响力的银行中的40家家庭银行应用程序。 为了获得一个全球性的国家安全观,来自下列国家的一些更重要的银行被纳入研究: 相关问题 本研究是在40小时内完成(不连续的)。 为了保护这些应用程序的所有者及其用户,本研究没有公布发现的漏洞以及利用它们的方法 所有的测试都只在应用程序(客户端)上执行;研究排除了任何服务器端的测试。 已经联系了一些受影响的银行并提交了漏洞报告   试验 以下为每个应用程序进行测试: 传输安全 明文流量 不当的会话处理 正确验证SSL证书 编译器的保护 反破解保护 PIE编译 用stack cookies编译 自动引用计数 uiwebviews 数据验证(输入,输出) 分析UIWebView的实现 不安全的数据存储 SQLlite数据库 文件缓存 检查属性列表文件 请检查日志文件 Logging 自定义日志 nslog报表 崩溃报告文件 二元分析 分解应用 检测的汇编代码保护混淆 检测防篡改保护 检测反调试保护 协议处理程序 客户端注入 第三方的库   概要 所有的应用程序可以安装一个越狱的iOS设备。这有助于加快静态黑盒分析。 黑盒分析结果 下列工具用于黑盒分析: otool (object file displaying tool)[1] Burp pro (proxy tool)[2] ssh (Secure Shell)     40%经审核程序的APP没有使用SSL证书验证真实性就提交了。这使得他们容易受到中间人攻击。[ 3 ] 一些应用程序(小于20%)没有位置独立的可执行程序(PIE)和堆栈溢出保护功能。这可能有助于减轻内存泄漏攻击的风险。   >#otool –hv MobileBank手机银行Mach headermagic cputype cpusubtype  caps    filetype ncmds sizeofcmds      flagsMH_MAGIC     ARM         V6  0x00     EXECUTE    24       3288   NOUNDEFSDYLDLINK PREBOUND TWOLEVEL     许多应用程序(90%)包含几个无SSL的链接贯穿在应用中。这允许攻击者截获流量,注入任意JavaScript / HTML代码,试图创建了一个虚假的登录提示或类似的骗局。   此外,发现50%的程序很容易通过UIwebview受到JavaScript 注入攻击,通过不安全注射的 UIWebView JavaScript实现。在某些情况下,原生iOS功能被暴露,允许受害者的设备发送短信或电子邮件。 一种新的网络钓鱼攻击已经变的很流行,受害者因为网上银行密码已过期,而按提示输入自己的用户名和密码。攻击者窃取受害者的凭证并完全获得了访问用户帐户的权限。 下面的示例显示其中家庭银行应用脆弱的UIWebView实现。它允许一个虚假的HTML形式被注入攻击者利用来诱骗用户输入他们的用户名和密码,然后把他们的凭据发送到恶意网站。         另外一个引起我注意而做的研究,是70%的APP没有替代认证的解决方案,如多因素认证,可能有助于减轻钓鱼攻击的风险。 大多数由应用程序产生的日志文件暴露敏感信息,如崩溃报告。这种信息可能被泄露,帮助攻击者利用0day 漏洞应用寻找和开发针对目标用户的应用。   大多数应用程序通过苹果系统日志公开敏感信息。下面的例子是从控制台系统使用iPhone配置实用工具(IPCU)。身份验证过程的应用程序转储的用户凭据。   …CA_DEBUG_TRANSACTIONS=1 in environment to log

Read More…

为了安全,别怕麻烦

随着互联网的发展,互联网逐渐成为人们生活的一部分,人们对网络的依赖性越来越大。互联网为人们的生活提供了极大的方便。然而,在享受互联网方便的同时,互联网也逐渐成为个人隐私泄露的主要方式,而这很大程度上仅仅是因为用户自己怕麻烦。 近日有媒体报道称,尽管多次强调互联网安全的重要性,用户自己也觉得应该保护个人隐私安全,但在实际应用面前,多数用户为了使用便捷,还是选择了放弃隐私安全。 据美国知名社交网站一项用户调查显示,在面对可使用已有账号登录的网站时,80%的用户虽然会担心个人数据隐私泄露,但他们还是会选择已有的网络账号登录,只是因为这样不麻烦。 足不出户就能搞定一切事情。方便、快捷使得互联网成为人们的一种生活方式。然而,便捷与安全始终是一对矛盾体,过于便捷通常是以牺牲安全为代价的。就像只是因为每次登录一个账号都要输入密码觉得麻烦而选择让网站记住登录密码一样,一个“怕麻烦”的念头,一个“记住登录密码”的举动,就成了网络个人隐私泄露的凶手,也给了网络犯罪以可乘之机。 社交网站账号被盗用、手机号码经常受到垃圾信息、银行卡账号被窃取而造成财产损失、手机密码被窃取导致大量个人私照外泄……这些报道经常见诸报端。殊不知,元凶就是用户自己在使用网络时泄露了自己的个人隐私。 近几年,随着互联网金融的发展,网络支付给人们生活带来了极大便捷,但与此对应地,个人隐私泄露事件也越来越多。今年3月份,携程网安全支付日志存在漏洞,导致大量用户银行卡信息泄露。互联网诈骗越来越多,而源头则是用户自己。 许多人不禁要说,那我们退回原始社会不要用网络算了。不是不提倡用网络,而是在使用时要切记莫因麻烦而泄露个人隐私。隐私泄露往往在一念之间。 首先,作为个人信息的持有者,用户自己要有保护隐私安全的意识,意识转化为实际行动。在注册网站时设置密码不要过于简单,在登录网站时选择不记住登录密码,银行卡密码等关系财产安全的信息不要与普通网站注册密码相同,尽量注册不同的网站使用不同的账号及不同的密码,尽量不要将个人信息在联网环境下保存。这虽然会带来一定的不便,但却是保护个人隐私最源头的做法。 其次,作为网络服务提供商,要意识到保护用户隐私是必须履行的义务。网络公司作为便捷服务的提供者给予他们掌握用户个人信息的权力,而这也成为个人信息泄露很重要的一个渠道。利益诱惑是导致服务商贩卖用户信息的主要原因。正如360公司首席隐私官谭晓生所说,“收集用户个人信息有风险,泄露用户隐私要承担责任。”因此,作为网络服务提供商,要切实按照国家规范向用户提供安全、便捷的网络服务。 最后,作为使用者以及提供商之间的监管者,国家网络监管部门要切实做好网络信息保护工作。同时,要加快个人隐私保护的立法工作。美国早在1974年就颁布了《个人信息保护法》,而我国至今却没有一部完整的保护个人信息的法律。但随着个人安全泄露事件频发,制订个人信息安全保护法成为当务之急。 “人们不是不关心隐私,而是需要更简单、更有效的方法来保护隐私。”此话一语中的。简单、有效的隐私保护则需要个人、服务提供者以及监管者各司其职,这样才能使互联网真正成为便捷、愉悦生活的提供者。     转自推酷

荷兰记者口述:危机四伏的公共WiFi

黑客Wouter走进一家咖啡馆,优雅的点了杯卡布奇诺。20分钟之后。他已经知道咖啡馆里每个人的出生地、来自哪所学校以及他们在搜索引擎上最近浏览的内容…… 我是偶然在阿姆斯特丹市中心的一家咖啡馆与Wouter认识的。Wouter Slotboom,34岁,是一名黑客。在他的双肩包里,永远都装着一部只有烟盒大小并且配有天线的黑色装置。 Wouter Slotboom向我演示了黑客是如何截获那些使用公共WiFi用户的个人信息的: 那天阳光明媚,咖啡馆里几乎坐满了人。有的人在聊天、有的人在上网、有的人在玩手机……Wouter找了一个位置坐下,从背包里拿出了他的笔记本电脑和黑色装置。点了两杯咖啡并向服务员索取了咖啡馆里的公共WiFi密码。 一切已经准备妥当,黑客行动即将上演。 前戏 Wouter打开了他的电脑,下载了几个程序,不一会屏幕上出现的全是绿色的文本行。很快我就明白了,此时咖啡馆里的所有正在上网的设备都已连接到了Wouter的设备上,包括笔记本电脑、智能手机、平板电脑等。 在Wouter的电脑屏幕上出现了诸如iPhone Joris、Simone’s MacBook等的字样。后来我才明白,Wouter使用的黑色装置上的天线可以拦截所有发送到周围笔记本、智能手机和平板电脑上的信号。接下来,更多的文本开始在屏幕上滚动,我甚至可以看到先前连接到公共WiFi的设备。 Wouter黑进一位名为Joris的账户,发现他曾去过麦当劳、去西班牙度过假(因为里面有很多西班牙语的网站)、参加过赛车比赛(访问过当地很著名的赛车中心网站)。Martin,另一个咖啡店的顾客,他登陆过希斯罗机场和美国西南航空公司的网站,可能住在阿姆斯特丹的白色郁金香旅馆,他还去过一个叫做The Bulldog的咖啡店。 虚假接入点 服务员端来了咖啡并递给我们咖啡店的WiFi密码。Wouter连上WiFi之后,所有咖啡店里的上网流量都重定向转到了他的黑色装置上。 大部分的智能手机、笔记本电脑和平板电脑都可以自动搜索并连接WiFi网络,而且它们会优先选择之前已经连接过的无线网络。例如,如果你之前已经登录过T-Mobile无线网络,你的设备就会在这一区域内自动搜索有没有T-Mobile。 在他给我的演示中,最令我吃惊的是列表中居然出现了我的上网记录。里面包括我的家庭网络名称、公司的网络名称、还有我去过的咖啡馆、酒店、火车站和其他公共场所的名字。天哪,我的记录居然被他一览无余,太恐怖了! 他设置了一个诱骗用户连接的虚假接入点名称。不一会就有差不多20个用户连接了我们的虚假接入点。现在如果Wouter想做什么的话,那对他来说就是小菜一碟,完全不费吹灰之力。比如,他完全可以检索到他人的密码,个人身份信息,银行账户等。但他没有这么做,因为它是一个有道德的黑客。 现在越来越多的人使用便携式设备,如笔记本电脑、平板电脑和智能手机,这也就意味着对公共无线网络的需求也在进一步的加大。无线网络是一把双刃剑,在使用它带来便利的同时也给我们带来了很多的不安全。只要使用公共WiFi上网的就有可能被黑客攻击,这是无可避免的。 窃取姓名、密码和私人信息 我们转站到了另一家以艺术拿铁咖啡著称的咖啡屋,这里到处都是自由职业者,他们各个都在玩弄着自己的笔记本电脑。Wouter打开他的装备开始了和上一家类似的活动。一会之后就有很多的设备连接到了我们的虚假接入点,我们可以清楚的看到他们Mac设备地址、登录历史、设备主人姓名等信息。在我的要求下,他准备进行更进一步的行动。 他打开了另一个应用程序,它可以提取用户更多的信息:比如他们使用的操作系统和版本信息。通过观察我们发现这些设备使用的都不是最新的系统,而Wouter恰好又知道这些系统的漏洞在哪里。对于大部分的黑客来说,如果他知道了这些系统的漏洞,那么他就可以随意的控制这台设备,从而窃取用户的私人信息。 在Wouter的设备上我们可以看到有人在用Mac浏览Nu.nl.网站;有人在用WeTransfer发送文件;有人在登录Dropbox;有人在登录FourSquare等等。还可以窥探到更私密的信息,如我们发现一个iPhone 5s的用户,而在他的手机上居然安装了基友约会的APP。 窃取学习、爱好和人际关系 为了保护我们的隐私,我们所知道的大部分APP、应用程序、网站和一些其他类型的软件都使用了加密技术。但是一旦受害者接入到了Wouter的虚假接入点,那么他的密码就会被Wouter通过解密软件破解,受害者也就没有私密信息可言了。 我们还发现了一位女士,我们利用得到的名字Google了一下,然后在咖啡店里找到了她,通过获取的信息,我们得知这个姑娘出生于其他欧洲国家,最近来到荷兰,通过她的上网记录,得知她正在学荷兰语和荷兰国情课,喜欢练瑜伽,刚从泰国和老挝旅游回来,对维持住自己目前的恋爱关系十分在意…… Wouter还给我演示了一些其他的黑客小技巧。他可以用他手机上的APP去改变任意网站上特定的字。例如,他把网站上的Opstelten字样替换成了Dutroux字样,那么当你打开相关网页时,上面就会出现Dutroux而不是之前的Opstelten了。这看起来是很搞笑很滑稽的一件事,但是经常被用来进行钓鱼攻击,下载一些儿童色情图片等不法信息。 如何安全的使用公共WiFi? 看了上面的演示和描述,你是不是和我一样觉得公共WiFi很不安全?首先,我们建议大家不要轻易的使用公共WiFi。可是,这的确是一件很难做到的事儿,当我们在公共场所还想继续上网怎么办呢?这里给出几条建议: 1、尽量不使用可疑或未加密的WiFi网络 我们给出的建议是,如果想在公共场所继续上网,最安全的方法就是使用移动数据流量,虽然很贵,但是它是相对安全。并且注意不要连接可疑或未加密的Wifi。当然如果你想绝对的安全,很简单,那就完全不要使用公共WiFi网络。 2、使用虚拟专用网络(VPN) 如果你想使用公共WiFi,有且只有一个方法可以保护你的安全——使用虚拟专用网络(VPN)。VPN的意思就是让用户在公共网络上建立起专用的网络以进行加密通讯,它会将你的上网流量加密然后连接到到你的VPN主机上,然后通过VPN主机上网。这样一来,即便上网流量在公共场所被截获,黑客破解起来也非常困难。 3、尽量使用HTTPS协议登录网站 HTTPS协议通过建立一个信息安全通道保证数据传输的安全。建议在公共WiFi环境下尽量不要登录诸如网上银行、支付宝等重要账户。 4、关闭WiFi默认连接 关闭WiFi开关,确保你的智能手机、平板、笔记本电脑不会默认连接无线WiFi网络。 转载来源 Freebuf.com

密码破解与心理学

第一部分:十大基本规律 规律一:绝大多数人都高估了破译密码的难度和低估了自己密码存在的风险,因而,往往把能够破解密码的人当成神秘人物,同时基本很少有修改自己密码的习惯。 规律二:绝大多数人一生常用的密码通常不会超过3个,如果你破解了某人的QQ密码,很可能你也破解了他的论坛密码、邮箱密码、游戏账号密码…… 规律三:从 性别上看,男性的密码比女性的要更加难破;从年龄层面上看,年轻人的密码比35岁以上的人群的密码更加难破;从受教育层度上看,大专以上学历的人群相对于 以下学历人群,密码破解难度更大,且大专、本科、硕士学历的人群密码破解难度基本上没有什么区别;从专业角度上看,理科生的密码比起文科生要难破一些,计 算机相关专业的学生密码破解难度最大。 规律四:绝大多数人的密码,基本上都是有确定含义的,随机乱码组成的密码极度罕见(应该说我从来没有遇到过,不过如果是这种密码,我这种基于心理的思路,可以确定毫无办法)。 规律五:大多数人的密码要么纯粹用数字组成,要么纯粹用小写字母组成,要么用数字加字母组成,只有很少人会采用下划线,极少数的人字母区分大小写。 规律六:密码所采用的字母中,很多都是姓名拼音、名字拼音的全部或首字母缩写,某一图腾的英文单词(通常是名词)——图腾的含义后面会提到,某一单位名的首字母缩写,以及某一地名的拼音或英文及其缩写。 规律七:密码所采用的数字中,很多有关日期,且该日期对密码所有人拥有极其重要的意义,还有很多与地名和电话号码有关。 规律八:使用下划线的密码,下划线通常只出现一次,一般这类密码的主人密码保护意识很强,其密码往往还包含数字和字母,这种密码的下划线的位置通常处在数字和字母的分隔处;字母区分大小写的密码,大写通常只出现一次,并且很多时候都出现在密码的开头,极少数出现在结尾。 规律九:除非所登录系统有严格的位数限制,否则密码的位数通常是8位到11位,7位以下的密码和12位以上的密码较为少见。 规律十:公 共网络的密码通常很少包含个人信息,大多数是单位名称的全部或某一部分的中文或英文全称,或者英文或拼音的首字母缩写,外加拥有特定含义的数字,这种数字 通常是电话号码或者门牌号,另外,有些密码是上述特定字母或其缩写的简单重复,如:12341234、abcabcabc;个人密码则很少出现上述简单重 复的情况。 第二部分:十大规律隐含的心理学特性 一、惰性 从上述很多条规律都可以看出人或多或少存在惰性,比如很少人会定期修改密码;再如很少人密码会区分大小写,因为这样的话必须进行至少一次大小写切换;再如各种不同账号使用同一密码都是人存在惰性的有力证明。 二、自我意识 自我意识很多时候体现在使用名字的密码上,通常,自我意识较为强烈的人,很看重自己的名号或者名誉,因而,其密码一旦使用自己的名字,往往就是名字的全拼, 较少使用缩写,更不会省略自己的姓氏,另外,这类人也有很大一部分使用的是某一图腾的英文单词,例如某人非常崇拜某一偶像,那么,这个偶像就是他的图腾, 其密码很有可能与这个图腾有关。 三、自我保护意识 从公用密码很少包含个人信息这一点很容易印证自我保护的问题,一般来说,当某一网管或其他特定工作性质的人需要为某公用账号设置密码时,首先需要考虑的是密 码易为别人所理解和记忆,然而,一个人在考虑秘密之类的东西时,首先联想的是他自己身上的东西,由于这些东西涉及其个人隐私,因而很容易被他的潜意识所排 除。 四、爱与责任感 不少人的密码会使用伴侣和孩子的姓名或生日、结婚纪念日、自己公司成立日期等诸如此类的信息,这很明显地体现了爱和责任感。 五、完美主义倾向 完美主义倾向在密码中主要体现在对称与平衡上面,这从名字加日期的组合式密码和带下划线的密码可以很容易看出来,例如,某人叫做张三,生日是1980年1 月1日,那么,如果采用前者,其密码往往是zhangsan19800101或者zhangsan8011,不大可能设置成 z1h9a8n0g0s0a1n01这种类型;如果使用下划线密码,则很大可能会采用zhangsan_19800101或者 zhang_san_19800101,不大可能采用_zhangsan19800101或者z_hangsan19800101这种类型。 第三部分:常见的无脑型密码 所谓无脑型密码,指那种破解起来没有任何技术含量,纯粹依靠运气就可以破解的密码,这种密码通常为公用,其结构很多时候为:某一数字的简单重复,某一简单规 则的数字序列,某一简单规则的字母序列,按某种简单规则组合的数字和字母序列,以上四种密码有以下一些典型例 子:01223456789,1234567890,123123123,12341234,0987654321,13579824680。 或者这样:qwertyuiop,abcabcabc,abcdabcd,abcdefg, 八个8,八个6,八个1,八个0,八个或者九个9,abcd1234,abc123abc123,abcd4321,所在城市区号的简单重复,等等。 这种无脑型密码常见于公用的网络或者邮箱账号,尝试破解公共密码的时候,通常优先选用以上提到的这些密码进行尝试,在北京的时候,我用 qwertyuiop破解了一次路由器的密码,来到潮州之后,第一次用1234567890破解了一次密码,后来才知道是同事手机网络的密码,现在用的网络是邻居的,密码是8个8. 第四部分:公共网络的路由器密码破解法 其实从严格意义上来讲,只要接了路由器,那么,其网络必定是共享的,因而只要接了路由器的网络,都可以看成是公用网络,区别在于公用的程度,一般来说,从公用的程度来讲,路由器可以分为四类:公共场所、公司、公租房、家庭,其中公用程度越高,密码破解难度就越低。 一、公共场所的路由器密码破解法 公共场所通常包括旅馆、饮食场所、网吧、商场等人流量大,人群确定但身份群不稳定的场所,这种场所的网络基本上不会包含任何个人信息,且大多数密码都是无脑型密码,此外最常见的密码是以下几种: 场所名称的拼音或英文的简单重复 场所门牌号的简单重复或前半部分为门牌号,后一部分为门牌号的倒序 场所名拼音或英文加上场所所在门牌号或分店号 场所预约电话、送餐电话或400免费服务电话 场所名拼音或英文加上4位到6为无脑型密码 场所门口某路公交车号码的简单重复 总的来说,很多的场所是不设置密码的,设置密码的作用也不大,其设置密码的目的通常是防止临近商家或住户的盗用,但只要这些用户稍微花点心思,则获取密码易如反掌。 二、公司路由器密码破解法 如果你在搜索网络的时候,搜索到网络名为4位以上的大写英文字母的,这种网络很有可能是公司网络,其密码的组合通常非常简单,除了以上提到的无脑型密码以外,很有可能采用如下几种形式。 公司名拼音或英文的简单重复,如中国移动,其某一门店的哦网络有可能是zgydzgyd,或者chinamobile 公司门牌号的简单重复或者前半部分为门牌号,后一部分为门牌号的倒序,例如某公司位于某栋大楼的1606室,那么其密码有可能是16061606或者16066061 公司前台电话号码,有时还会加上公司所在城市的区号 公司名拼音或英文加上公司门牌号 公司名拼音或英文加上某一4位到6位的无脑型密码 公司名拼音或英文缩写加上电话号码或电话号码的最后4位 总之,公司的网络由于用的人多,所以,其密码包含的较难记住的信息越少,破解难度是非常低的,只要有耐心多尝试几次,一般来说,都不难破解,至于公司的名称、门牌号码和电话号码如何获得,这个我想只要你在一些写字楼上过班,都不用我来教你。 三、公租房路由器密码破解法 这里所谓的公租房,是指来自不同地方彼此不认识的人或者彼此要好的同学、朋友、同事一起租住的房子,包括大学宿舍,职工宿舍,同时还包括彼此独立租房,但共用一个网络的用户群。 公租房的密码类型已经或多或少接近于家庭密码,但由于成员关系不如家庭那么亲密,因而,其包含的个人信息依然较少,破解的成功率依然较为可观。除了上述提到的无脑型密码以外,公租房的密码通常还有以下几种类型: 所在小区名或楼层名拼音的全部或者拼音简写的简单重复,例如“金碧花园”用户,其密码就有可能是jinbihuayuan或者jbhyjbh  房号或者楼号加房号或其简单重复,或者前一部分为房号,后一部分为房号的倒序,例如我在北京时候住在某栋小区的2号楼2单元1202房,我为租用我网络的 用户设置的密码就是12022021;同时,尝试过登录邻居路由器的时候,住在1201的公租房用户,其密码为12011201;住在11楼3号房的用 户,其路由器密码为02021103。 小区名的简写加上房号,例如,我在北京住的小区名为华龙美晟,搜到我楼下2号房的用户,其路由器密码为hlms1102。 宿舍电话号码或者前面加上区号,例如,广州某大学宿舍的电话号码为61306325,那么,其密码有可能就是61306325或者02061306325. 公租房用户都要经常用到的某一电话号码,例如送水电话,送煤气的电话,送餐电话,等等。 四、家庭路由器密码破解法 家庭密码在这四类密码中间,相对来说是最容易破解的,因为大家彼此都很亲密,因而,这类密码通常包含了不少家庭方面的信息,不过,从人性的角度来将,再亲 密的人彼此之间也是存在隐私的,因而,这类密码通常不会包含真正内心深处的隐私,因而,相对于个人密码来讲,其破解难度要低得多。 不少的家庭路由器密码依然使用上述的无脑型密码,另外一些则具备公租房密码的特点,以上这些都不再赘述,下面谈谈家庭路由器密码相对于公租房密码所不具备的特点及其破解方法。 家庭姓氏拼音的简单重复,这种常见于姓氏拼音4个字母以上的家庭,如张、周等,而像李、林一类的姓氏,这种方式就要少见得多。另外,有趣的是,以姓氏进行 简单重复的密码,其首字母通常会采用大写,有的甚至是遇到第一个字母就大写一次的现象,例如某一姓张的家庭,其密码有可能会采用Zhangzhang或者 ZhangZhang的格式。 家庭所居住的房屋的电话号码或者区号加上电话号码,这类密码有时候家庭会出于安全考虑,在电话号码最后会加上一位到两位防盗码。例如,某家庭的电话号码是81008100,那么其路由器密码有可能会是810081000,最后一个0就是防盗码。  老家的电话号码,这是我阅读上面提到的那份资料所发现的一个密码规则,当时我发现有几个人采用这种类型的密码,其中一个人注册资料填写的寄件地址是北京, 而户籍地址是河北某县的,而其密码以0开头,看起来像一个电话号码,因而上网查找,果然发现这个密码的前面几个数字与其户籍地址所在的县城区号相对应,因 而断定这是一个老家的电话号码,尽管这属于个人密码,但是由于老家的电话是家庭成员所共知的,因而完全有可能被用作路由器密码。 家庭姓氏的拼音加上电话号码或者手机号码。 以下几条是我认为可能存在的规则,但是由于之前破解的过程没有相关的信息,因而没有经过验证的,一并提出来供大家参考。 夫妻两个人的姓氏加上结婚纪念日,有可能是两个姓氏连在一起,后面加上结婚纪念日;也有可能是两个姓氏分别放在两端,结婚纪念日放在中间。 第一个孩子的姓名、小命加上孩子生日。 父亲或者母亲的生日。 夫妻之间妻子的姓名,丈夫私底下对其的爱称加上妻子的生日。这一条是有性别的分工所决定的,因为通常涉及电脑的东西,男性懂得会更多,因此借此机会向配偶表达一下爱意是完全可能的。 家里养的宠物的名字加上某一特定含义的数字。 总之,只要你掌握足够的信息,通过这上面已经经过验证和没有经过验证的几条规律,就有极大的可能破解人家的路由器密码。 以上就是几种人群分布所在网络的路由器密码破解的主要内容,而有的时候,破解密码甚至都不需要用到以上的方法,因为路由器通常也就是那么几个品牌,而很多 品牌的路由器地址都是固定的,例如TP-link及其他很多品牌的很多型号使用的地址是192.168.1.1,像腾达则很多使用 192.168.0.1,而各大品牌的路由器的默认初始登录账号和密码都是admin,偏偏很多人又不会操作,有的即使懂得操作也不愿意去修改路由器的登 录密码,因而有时候你可能很轻松的就进入人家的路由器去进行诸如设定固定IP、修改流量、重启路由器等操作。如果你搜索某个网络的网络名是诸如 Tenda,TP-link_2D18FA这样的含有品牌名的网络,那么,很有可能他的路由器登录密码也是没有修改的,只要你懂得路由器怎么操作,那么, 这种网络是很容易就突破了。 第五部分:基于性格分析的个人密码破解法 一、个人密码常用的组成要素 自己姓名、伴侣姓名、孩子姓名的拼音或其缩写。 自己生日、伴侣生日、孩子生日、父亲或母亲生日、自己公司开张纪念日、结婚纪念日、某个亲人的忌日等对密码主人有特别重要意义的日期。 家庭电话号码、老家电话号码、个人手机号码、爱人手机号码。 身份证、房产证、驾驶证、自己公司的经营许可证、营业执照等证件的号码或其号码段。 与自己所追求或崇拜的事物有关的事物(即:图腾)的名称或日期。 自己、亲人、宠物、图腾的昵称。 爱人或者某一图腾的名称(通常是简称),加上1314(一生一世)或者5201314(我爱你一生一世)这样拥有谐音特性的数字串。 二、图腾 “图腾”体现在现代人的精神世界里,很多的时候是爱、理想、人格参照物等美好事物的象征。其一般意义通常与宗教或者原始崇拜有关,而宗教之所以能够一直存 在,很大程度在于其能直达人类的内心深处,密码“密”的特点与图腾的这种特点很容易就能够互相结合,因而,与图腾相关联的一些事物,很容易被人们选作密码 的载体。 在密码中,常见的图腾通常有以下几种: 初恋对象的名字拼音或其缩写,或者昵称的英文,初恋对象的生日或与初恋各种第一次的日期,与初恋对象有关的事物,例如某只宠物的名字、第一次约会的地点。 某个特别崇拜的人物的姓名、外号或者生日、忌日。 某个特别向往的地方的名字,包括发誓一辈子无论如何要去一次的地方或者故乡。 某个特别向往的神话人物或一种与一种理想生活有关的事物,例如:乌托邦(Utopia)。 某个童年时期对自己影响极深的人物的名字或者事物的名称,例如:电影《公民凯恩》中,凯恩至死都念念不忘的“rosebud”,如果凯恩生在现代,那么,我刚说他的密码百分之百会包含这个单词。 三、不同人格类型的人群使用密码的习惯 由于各自使用的标准不同,古今中外各种心理学家和人物学家,对于人群的分类方法可谓千差万别,例如:儒家通常会将人分为圣人、君子、小人,三国时期的刘劭则 将人按才的不同分为英、雄、俊、杰,中国的命理学更是将人按照生辰八字的结合分出“财官双美格”、“食神生财格”等多种类型,而“阴阳二十五人”分类法则 将人按照五行体现的气质将人分为二十五类;西方心理学有按星座进行区分的,还有按照九型人格进行区分的,而像弗洛伊德则将人的思想分为有意识和无意识两 种,施普兰格尔则把人格分为理论、经济、艺术、社会、政治 、宗教6种类型……… 由于理论基础不一样,因而其分类方法就不一样,对于密码来说,上述无论任何一种理论所提供的分类方法都难以能够和该人群的密码使用习惯一一对应,因而,下面我将结合自己的经验以及自己的思考,对不同类型的密码所对应的人群进行分类。 由于自己过往破译的密码并不算太多,而阅读过的那份材料所涉及的人又全部素未谋面,加上我并没有学过系统的心理学课程,因而,以下的分类方法未必科学,难

Read More…

钓鱼网站终极杀手:Google把安全密钥封装进“U盘”

谷歌上周发布了一项新的安全保护措施,这项新的安全保护措施采用了特殊的USB安全密钥,旨在为用户提供更安全的数据保护。 这项可选的安全密钥技术在操作过程中只需要额外的两个简单步骤:1、把特殊的安全密钥插到电脑的USB接口;2、按下确认键,之后Chrome用户会收到谷歌系统发送至手机或邮箱的验证码,用户必须输入这个验证码来完成整个安全信息验证过程,最后登陆账户。这个两步验证简单又安全,适合那些对账户安全有着格外敏感要求的用户。 不过,选择采用这项安全密钥技术的用户将不得不向合作供应商购买一个价值不超过20美元的USB安全密钥设备。 “与输入一串密码不同,你只要将安全密钥插入到电脑的USB接口,在Chrome浏览器出现提示后按下确认键,”谷歌安全的产品经理Nishit Shah在一篇博客中写道,“当你通过Chrome浏览器和安全密钥登陆你的谷歌账户后,你完全可以不用担心你的密码凭证会被网络钓鱼技术截取。” 谷歌先前曾发起过一项旨在推广通用的第二安全方案的专案,简称U2F。这次,谷歌推出的这项安全密钥技术则是FIDO联盟采用该标准后的首次公开尝试。FIDO联盟,全称“线上快速身份验证联盟”,旨在通过开放技术提供更好的网络安全服务,目前该联盟已有120多家公司加入,其中包括微软和谷歌。值得注意的是,苹果暂未加入FIDO。对于任何支持FIDO联盟安全密钥技术的服务商,用户可以使用同一个的USB安全密钥来安全登陆账户。 对于谷歌发布的这款产品,FIDO给予了大力支持。“毫无疑问,一个崭新的时代即将到来,”FIDO联盟的主席迈克尔巴雷特(Michael Barrett)在一份声明中感叹,“我们正在努力鼓励用户和服务提供商放弃使用单一的密码验证方式,转而使用更加安全、隐秘,容易使用的FIDO验证。” 安全密钥技术的硬件设备——USB安全密钥,外观上是一个塑料薄片,内部包含一个处理加密密钥的芯片和能够与电脑USB接口对接的信息槽,整个硬件的成本不超过20美元。另外根据FIDO联盟的协议,这个USB安全密钥可以应用于其他支持U2F安全协议的应用。安全密钥内置的处理芯片,通常被称为“安全元素”——是在智能卡片应用和安全存储以及加密密钥处理方面广泛使用的硬件组件。在使用该安全密钥初次注册服务提供商的过程中,会生成一组加密密钥:一串公共钥匙发送给提供商,一串私人钥匙由用户的安全密钥存储。当使用支持该项技术的浏览器时,网站会向安全密钥发送一个加密请求,由安全密钥根据加密密钥解密后再加密回复。 可以看到,在许多方面,安全密钥与银行和商家用来打击信用卡盗窃的“芯片密码”(chip-and-PN)技术有相似之处。 线上安全密码保护提供商Yubico的副总裁Jerrod Chong说,通过使用密钥和支持该功能的浏览器和服务,几乎所有的网络钓鱼攻击,键盘记录截取以及中间人攻击都变得不可能。 “任何攻击者将无法获得登陆账户的有效信息,”Chong继续补充道,“如果系统受损,这项技术并不能防止数据泄露。但是,我们必须清楚,我们设计它的目的是防止目前最常见的黑客攻击:通过网络钓鱼欺骗用户去做一些损害利益的事情。” 谷歌推出的安全密钥目前只支持Chrom浏览器和谷歌的服务。但谷歌希望手机浏览器和其他浏览器能够尽快支持U2F,使越来越多的人能够随时随地使用谷歌的两步验证安全密钥服务,享受互联网的新安全时代。