记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

密码管理器的攻防博弈

作为一个会每天访问Freebuf网站的人,或者说是一个对信息安全感兴趣的人,肯定会知道一位用户所有的网络账号不应该都使用相同的密码,这也是一个最基本的安全常识。可是那然后呢? 前言 那么为了让每一个账号都能拥有一个健壮的密码,你可能就需要用到密码管理器了。也许当你第一次使用密码管理器的时候,你心里会有些忐忑不安,毕竟你将所有的密码都放在了这一个地方,而你又可以跨设备跨平台地通过云端来同步自己的密码,这种便捷性肯定会让每一个用户对密码管理器的安全产生质疑。 悲剧的是,你的质疑是对的。在这篇标题为《密码管理器:攻击与防御》【点我下载】的论文中,作者David Silver告诉了我们很多密码管理器中都存在严重的安全漏洞,而这些漏洞与密码自动填写有着密切的联系。虽然这是一篇发表于2014年的论文,其中描述的很多攻击向
发布时间:2017-02-14 06:15 | 阅读:88014 | 评论:0 | 标签:数据安全 密码

Net-Creds:快速嗅探数据包及接口中的敏感信息

项目主页 https://github.com/DanMcInerney/net-creds 简介 Net-Creds是一款快速从数据包或者接口中嗅探密码以及Hash的工具 截图 Sniffs URLs visited POST loads sent HTTP form logins/passwords HTTP basic auth logins/passwords HTTP searches FTP logins/passwords IRC logins/passwords POP logins/passwords IMAP logins/passwords Telnet logins/passwords SMTP logins/passwords SNMP community string NTLM
发布时间:2016-10-30 00:35 | 阅读:123828 | 评论:0 | 标签:工具 Hash Net-Creds 嗅探 密码 接口 敏感信息 数据包

FBI被坑了!破解iPhone 5c的密码其实只要100美元

名噪一时的圣贝纳迪诺枪击案,重点似乎不在枪击案本身,而在于FBI为了能够解锁罪犯的一台iPhone 5c手机,要求苹果制作一个特别版本的iOS系统,并且要求该系统去掉锁屏密码输入的次数限制,这样FBI就能通过密码穷举的方式来破解这台iPhone,取得其中的数据了。苹果当然不肯这么干,最后这件事情还闹上了美国国会。今年4月份,FBI表示我们不靠苹果,投入130万美元找技术公司,搞定了圣贝纳迪诺枪击案涉案iPhone。当时有不少媒体报道说,FBI所用的是NAND Mirroring也就是闪存镜像技术,FBI负责人则坚决予以了否认,表示闪存镜像技术根本搞不定。最近剑桥大学一名安全研究人员Sergei Skorobogatov研究出一种NAND镜像技术,完全能够绕过iPhone 5c的密码重试次数
发布时间:2016-09-24 20:10 | 阅读:94719 | 评论:0 | 标签:终端安全 fbi iphone NAND 密码 phone

质数分布是否随机关乎安全大事

还记得初中时学过的质数吗?质数,也叫素数,即除了1和它本身无法被其他整数整除的数,像2、5、7、11……这些都是质数。对于质数的分布,之前的数学家们一般都认为是随机的,但最近的科学发现,质数的分布或许并不像之前认为的那样随机。而这一发现极可能对密码学和网络安全领域带来巨大影响。回顾一下质数表,你会发现,除了前面的2和5,其余的尾数都是1、3、7或是9。科学家们认为,质数的这四个尾数是随机分布的,并且质数的尾数是哪一个的机率均等。但斯坦福大学的两名数学家却发现,质数的尾数并不完全是随机出现的。由于某种原因,在分析前十亿个质数时,质数尾数连续重复出现的机率并不相同,使得我们很难根据某个质数的尾数轻易地预测出下一个质数的尾数。比如说,尾数为1的质数的下一个质数的尾数就不大可能仍是1。质数在密码学方面广泛应用。当我们在
发布时间:2016-04-23 23:35 | 阅读:73719 | 评论:0 | 标签:黑极空间 密码 质数

开发安全指南:如何安全地储存用户密码

0×00 前言首先如果你对密码学的概念以及使用并不熟悉,或者你正需要进行一些密码学的引导,那么我推荐你阅读一下这篇内容。此前我们就曾明确的表示,即使是安全建议也应该有个保质期。因此和我们过去发布的大多数博客文章不同,上面那篇内容实际上是处在一种“随时更新”的状态:当对安全的需求变化以及新的攻击形式被发现时,我们都会做出相应的变更。这里我们提出一个密码安全观点:不要存储明文密码,而是存储密码的哈希值。 事实上现在,生成安全的密码哈希值非常简单。但这里有个问题就是,你可能希望别人可以设置一个带密码的帐号,通过这个帐号和密码,别人可以登录到你的程序中,那么这一功能要怎样才能安全的实现?而解决这个问题也很简单——使用libsodium。它可以为大多数语言提供一个安全的密码哈希API。在1
发布时间:2016-02-19 20:35 | 阅读:128069 | 评论:0 | 标签:WEB安全 hash MD5 储存 密码

【黑客代码】恶意软件博物馆

0x04–PCWorld在僵尸网络、MyDoom蠕虫和震网病毒出现之前,攻击个人电脑的恶意软件与现在的恶意软件相比,已经是面目全非。那时个人计算机上的操作系统还是DOS。有些病毒(那时还没有恶意软件这个名字)只是令人恼火,有些则破坏文件或搞乱你的系统,但不管怎么样,它们都很有范儿。 著名的互联网档案网(Internet Archive,也称“网站时光倒流机器”)新开了一个栏目,“恶意软件博物馆”,里面展示了上个世纪80年代至90年代的各种病毒。访问者可以通过浏览器重温那些尘封在计算机历史中的捣蛋分子。为了确保浏览者的安全,所有的病毒都被博物馆的创建者去掉了能够产生实际破坏的代码,并运行在浏览器内的模拟DOS环境中。目前恶意软件博物馆包含65个样本,包括“救护车”、“意大利的”等好玩的病毒。
发布时间:2016-02-09 07:30 | 阅读:143682 | 评论:0 | 标签:牛闻牛评 GCHQ 密码 恶意软件 漏洞利用

这种口令解决方案可替代多因子验证

普利茅斯大学一项研究表明:采用图像和一次性数字编码可以作为一种安全且易于使用的方案代替依赖于硬件或软件的多因子验证方式或者一次性密码。来自安全通信和网络研究中心的研究人员认为,他们开发的多级身份验证系统GOTPass能够有效保护个人网上信息不被黑客侵害。这种方式用户更便于记忆,且由于不需要开发可能开销昂贵的硬件系统,提供商也实现起来也更节省资金。研究人员在《信息安全杂志:全球视角》中写道:该系统适用于网银和其他类似服务,有多个账户的用户在使用这些系统时往往受累于要携带多个设备以获取访问权。他们还公布了一系列安全测试的结果:在690次使用各种猜解手段和更有针对性攻击方式的黑客攻击尝试中,只有23次成功突破了该系统的防御。带领此项研究的博士研究生侯赛因·阿塞艾里(Hussain Alsaiari)说:“传统密码无疑
发布时间:2016-01-13 00:50 | 阅读:98300 | 评论:0 | 标签:动态 技术产品 多因子 密码 身份验证

密码管理和分享更容易 LastPass 4.0发布

现如今的网络安全是个比较严峻的问题,所以你可能会以为人们都学乖了,善待自己的密码和安全认证方式。比较悲剧的是,实际情况并非如此,好在还是有密码生成器、密码管理这样的东西存在,能够一定程度保护人们的线上安全。最新的LastPass 4.0对软件UI进行了重新设计,使用体验也更出色,而且在分享密码时服务也有了更多的安全措施。  密码属于个人资产的重要组成部分,将密码与他人分享听起来是个很恐怖的想法。但很多时候,其他人有时的确需要访问你的账户,这就需要你的授权了。LastPass 4.0就有全新的分享特性,即便与他人进行密码分享,也是足够安全的。 Emergency Access(紧急通道)就能够授权其他人在某些必要的情况下访问你的密码库,不管是你的家人还是你的朋友。用户也可以选择设定访问请求延后,或者拒绝请求
发布时间:2016-01-06 14:40 | 阅读:70857 | 评论:0 | 标签:业界 LastPass 密码

浅析QNX系统的shadowed密码Hash格式

QNX(Quick UNIX)是一个unix家族的实时操作系统,首次发行于1980年,2010年被黑莓公司收购。QNX通常用于嵌入式系统中,在企业服务器领域并不常见。参考资料[1]的博客中有一些QNX安全评估和渗透测试的信息。QNX是一种商用的类Unix实时操作系统,遵从POSⅨ规范,目标市场主要是嵌入式系统。QNX成立于1980年,是加拿大一家知名的嵌入式系统开发商。QNX的应用范围极广,包含了:控制保时捷跑车的音乐和媒体功能、核电站和美国陆军无人驾驶Crusher坦克的控制系统,还有RIM公司的BlackBerry PlayBook平板电脑。如果你有幸在渗透测试或研究中接触过QNX主机,你可能会意识到/etc/shadow文件下的shadowed密码使用了一种不常用的格式。本
发布时间:2016-01-05 19:05 | 阅读:100229 | 评论:0 | 标签:系统安全 hash QNX shadow UNIX 密码 控制系统

新型勒索活动会在数据加密之前盗取密码

新一波的秘密勒索软件很不道德地攻击Windows用户。一种名为Angler的病毒侵染了这些网站。Heimdal Security公司发表的博文中说到,这是一种现成的开发工具,是一种可以帮助职业罪犯轻松犯罪的工具。 该工具最近一轮的攻击尤其恶劣,因为在加密之前,这种隐蔽式攻击开始使用一种叫做Pony的恶意软件来截取任何储存在被感染电脑中的登录认证。 博文如下:本次活动通过在被感染的个人电脑中安装恶意软件“鸡尾酒”这种数字工具所执行。首次有效装载包含了恶性数据盗贼“Pony”。它可以系统地从被感染系统中截取所有有效用户名和密码,然后发给一系列被网络攻击所控制的指控性服务器。这种行为意图滥用合法的网络服务器认证和CMS系统网站,并向这些网站中注入恶意脚本,由此可以达到最大程度分布的目的。第二阶段中,这种隐蔽式活动通
发布时间:2015-12-07 12:45 | 阅读:76333 | 评论:0 | 标签:安全 密码 数据加密 加密

当亲人老了 我们需要共享密码

你生命中的某些时候,将不得不照料不再记得各种密码和其他信息的伴侣或关系亲密的亲戚。或者,你得在他们过世后整理他们的遗物。两件事都不容易,但你所知道的信息越多,处理起来就会越轻松。没有密码和其他信息,你将非常难以登录所关切之人的账户。玛丽莎·泰勒就是一个例子,她年老的父亲忘掉了一个微软账户的密码。只得花了将近两周时间才得到重新获取账户控制权的答复:近亲、医药代表和/或有委托书的人,可以通过发送邮件到msrecord@microsoft.com与微软记录托管人取得联系。如果你做了预先准备,你就能在未来避免掉此类麻烦。当你的家人同意给你委托书或类似授权,问他们要密码和其他信息(比如:他们在各种网站上设置的安全问题的答案)。与你能信任的人(比如你的配偶)共享密码也不失为一个好办法。使用密码管理器也是一个办法,如果夫妻俩
发布时间:2015-11-11 10:30 | 阅读:62875 | 评论:0 | 标签:牛观点 共享 密码

LogMeIn收购LastPass

软件即服务供应商LogMeIn同意以1.25亿美元收购流行的单点登录和密码管理服务商LastPass。LastPass发表声明称,它目前没有计划改变现有的商业模式——也就是免费增值模式,免费的基础版,付费的高级版和企业版。LogMeIn将在LastPass品牌下整合旗下类似的产品Meldium。收购引起了一些用户担心密码托管问题,类似的密码管理服务有KeePass和1Password。
发布时间:2015-10-12 15:20 | 阅读:73103 | 评论:0 | 标签:业界 LastPass 单点登录 密码

密码那点事儿

时隔多久你才会关注你当前所使用的密码呢?这不仅是指网站的密码,也包括日常网络上所使用的任何应用的密码。你是不是为了便于记忆而总是使用同一套密码呢? 我们看过太多用于FTP,数据库配置,cPanle以及CMS登录的弱密码。每个人都有一套独有的密码编制策略,往往都基于一系列有关网络安全的假设。很多用户的策略是”便捷优先于安全“。即便我们当中的一些偏执者也不得不承认这样一个事实:和任何防御措拖一样,最好的密码管理实践也只是尽可能将风险降到最低水平而已。 密码管理既是一门关于选择的学问,又是一种实践中养成的习惯。在了解了安全风险之后,用户往往就能做出明智的决定,从而在实践中使用更加安全的密码。 强密码的历史 绝大多数关于密码长度的检测标准都太弱了。其实,很多公司都了解这一点,但它们可不愿看到由于强密码检测的存在而导

黑客如何破解密码

什么是好密码?几乎每一个网站都给出了差不多一样的标准: 长度得8位以上;需含大小写字母、数字及符号;不要用任何出现在字典里面的词,包括部分替换(如用p@ssword或fai1也不好)。 只要你的密码满足了这些标准,基本上网站都会奖励你一个绿色的强密码标示—好密码。但是实际上你和网站都错了。为什么?原因首先要从密码是如何被破解讲起。 黑客如何破解密码 网站是通过比对输入的密码与数据库中的密码来验证用户的。但是一般这些密码都不是以明文的方式存放,而是用哈希算法对保存的密码进行单向加密,输出的结果是无法逆向工程出来的。比方说“123456”经过SHA-1哈希算法得出的结果是7110eda4d09e062aa5e4a390b0a572ac0d2c0220,通过这个结果是无法知道原始密码的。 然后用户登录时输入的密码
发布时间:2015-02-10 00:00 | 阅读:94560 | 评论:0 | 标签:信息安全 密码 黑客

公钥密码边道攻防研究

1994 年,Shor 提出了大合数分解的快速方法,使破解RSA 成为可能,尽管只是几率性的,但也引起很大震撼。 然而,边信道攻击技术的出现,给密码算法、尤其是密码设备和密码芯片带来了更大的威胁,其严重程度远大于经典的数学分析方法。 1、简述 1999 年,P. Korcher 继1996 年发表有关计时攻击文章后,再次发表“Difference Power Analysis”(DPA)的文章,使边信道攻击走上了系统研究和发展轨道。 所谓边信道攻击,指利用信息设备在运行过程中消耗的时间、功率,产生的电磁辐射、故障、声音、温度等“边信息”引起的信息泄漏而发起的攻击。分为计时攻击、功耗分析攻击、电磁攻击、故障攻击等。 图.1 是P.Korcher 等人针对DES 算法S-盒的 DPA 攻击结果,其中有尖峰的
发布时间:2014-09-12 17:35 | 阅读:74435 | 评论:0 | 标签:密码学 密码 网络安全

关于密码的那些事儿—浅谈密码的设计与管理

这是整理于2011年底的一份报告材料。介绍    2011年底,国内遭遇网络安全的“崩盘”。从CSDN用户数据被爆库,到天涯用户信息被刷库,到众多社交网站、论坛用户数据被拖库,密码(口令)泄露成为2011年年终中文互联网上非常热门的话题。     在互联网上,需要用到密码的服务几乎无所不在,网银,淘宝,邮箱,人人,facebook, QQ,MSN,微博,博客,linkedin,各种论坛……但我们输入的口令和网站对密码的保管是否安全?这是一个值得我们思考和亟需解决的问题。     本次报告以近期的网络用户数据泄露事件为背景,简要介绍身份认证与密码的几种形式,从普通用户、网站建
发布时间:2013-06-18 22:50 | 阅读:166782 | 评论:0 | 标签:技术探究 CSDN 哈希 密码 密码泄露 拖库 爆库 社会工程学 网络安全 黑客

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云