الشرق الكبير: أبيض، أعيادا سعيدة!

الأبيض: إيه إيه، وأيضا الأطفال تشو Quanguo عطلة سعيدة ~

جيرو: حسنا، اليوم، I يطلق عليه اليوم ~

الأبيض: لا آه، التعليم أمن الشبكات لبدء مع الأطفال، وجعلت غالبية عشاق الشباب يجلس أمن الشبكات وغيرها من الاشياء الكبيرة مقعد صغير من الواضح أن النص المخزنة في ذلك.

أولا، الحادث كله

الشرق الكبير: مارس من هذا العام، واعترف الفيسبوك التي تمثل بتخزين ما يصل إلى 600 مليون مستخدم لا يتم تشفير كلمة المرور ويمكن أن ينظر إلى الآلاف من الموظفين كنص عادي.

الأبيض: إنه لم تكتشف يناير، وكيف تم إصدارها مارس؟

الشرق الكبير: قال مسؤولون أمنيون الفيسبوك اكتشفوا أنه لا يتم تخزين هذه عادي كلمة المرور في مكان واحد، فمن المرجح أن تكون مجموعة متنوعة من المشاكل الناجمة عن تراكب ثغرة، ومشاكل التشتت تجعل التفاهم وحل المشكلات يصبح أكثر تعقيدا . قد الفيسبوك امضى اكثر من شهرين في التحقيق ولحل هذه المشكلة.

الفيسبوك

الأبيض: قال Fcaebook مؤسس والرئيس التنفيذي لشركة زوكربيرج مارس، قبل أن تذهب للشركة التوجيه الاستراتيجي الاجتماعي الخاص، وجها لذلك تعرض للضرب بسرعة.

الشرق الكبير: كلمة المرور هذا المستخدم 600 مليون، بالإضافة إلى خارج العاملين الفيسبوك الذين لا يستطيعون رؤيته.

الأبيض: إقناع لك؟ هل تعتقد أننا سوف شراءه؟

الشرق الكبير: في الواقع، موظفي الداخلية الفيسبوك لرؤية هذه كلمات السر هو أيضا ثغرة أمنية كبيرة.

ثانيا، المخزنة في نص عادي

الأبيض: ما هو عليه المخزنة في نص واضح؟

الشرق الكبير: يتم تخزين نص عادي في كلمة نص واضح عند حفظ. يشير تحديدا إلى كلمة المرور المخزنة كلمة المرور أو التسليم في الوقت المحدد الشبكة ليست خفية من قبل الشخصيات عادي يتم عرضها مباشرة، وليس من خلال النص المشفر مشفرة.

الأبيض: هل يمكن ان توضح بعض من السهل أن نفهم؟

جيرو: أن أعطيك مثالا، مثل كلمة السر هي 123، ثم كلمة المرور النص والشفرات هي ***، وكلمة السر النص العادي 123.

الأبيض: فهمت. من وجهة أمن المعلومات للعرض، يجب أن لا يتم تخزين أي خدمة الشبكة أو إرسالها في واضحة.

الشرق الكبير: في الواقع، هذه الظاهرة كثيرا، ليس فقط الفيسبوك لديه مثل هذه ثغرة. في عام 2013، عندما وجد الباحثون، وكروم مخبأ آلية عادة دون علمك أو موافقة دون أن يطلب منك في القرص الصلب الخاص بك المخزنة في اسم واضح النص وعنوان البريد الإلكتروني والعنوان ورقم الهاتف، ورقم الحساب المصرفي، أرقام الضمان الاجتماعي، وأرقام بطاقات الائتمان وغيرها من البيانات الشخصية.

متصفح كروم

الأبيض: هذا الشعب صول سيجعل إلى جهاز الكمبيوتر الخاص بك يمكن أن نرى بسهولة ونسخ كل هذه البيانات الشخصية الحساسة.

الشرق الكبير: تنسيق البيانات صفحة التخزين الافتراضي جوجل كروم، بما في ذلك البيانات التي تم إدخالها على موقع ويب آمن إلى الفوري تلقائيا استخدام البيانات في المستقبل. البيانات المخزنة ينتمون إلى نص غير مشفر، إذا تم سرقة جهاز الكمبيوتر الخاص بك أو قرص الصلب أو المصابين البرمجيات الخبيثة، ويمكن الحصول عليها مباشرة.

الأبيض: يبدو أنني بحاجة لتنظيفها بانتظام مخبأ كروم لحماية الخصوصية الشخصية.

وكان من المفترض الفيسبوك أن يكون من خلال خوارزمية التجزئة والملح، حتى بما في ذلك استخدام خوارزمية scrypt ومفتاح التشفير لإخفاء كلمة المرور الخاصة بالمستخدم، ولكن بسبب "سلسلة من سوء السلوك"، حتى أن بعض موظفي إرسال سطر الأوامر، يمكن للمستخدم تسجيل: الشرق الكبير معالجة التشفير غير مشفرة، وتخزين البيانات وتسمح لهم بتنسيق النص العادي.

الأبيض :( لعق الفم) الملح؟ طبخ ذلك؟ أنا جائع. . .

الشرق الكبير: ما للتفكير في الأمر، التشفير الملح هو وسيلة لتشفير كلمة سر النظام، ويرتبط الطريقة التي يتم تنفيذها في كلمة المرور مع كل "الملح" (الملح) مع ويسمى رقم عشوائي ن بت.

الأبيض: مهلا، هذا هو المعنى الأصلي.

الشرق الكبير: على الرغم من أن هذه البيانات لم تسربت بعد، ولكن حتى الآن لا يوجد أي دليل على سوء المعاملة أو وصول غير مناسب داخل شخص ما، ولكن يجب أن تنعكس أن أمن المعلومات في الاهتمام.

الأبيض: شركات كيفية تخزين كلمة المرور الخاصة بالمستخدم لتشفير ذلك؟

الشرق الكبير: سؤال جيد، واليوم نحن مدعوون خصيصا يانغ تشينغ خبراء الأمن 360 لتعطيك الجواب على هذا السؤال.

الأبيض :( تصفيق) نجاح باهر، القراصنة إله!

ثالثا، يقول الخبير

يانغ تشينغ: بالنسبة لمستخدمي الأعمال كيفية تشفير كلمات المرور المخزنة، يمكن تشفير الرجوع إلى ثلاثة من دروببوإكس.

الأبيض: أي ثلاثة تفعل؟

يانغ تشينغ: أولا، SHA512، وتطبيع كلمة مرور المستخدم لقيمة تجزئة 64 بايت. وذلك لسببين: الأول هو أن يدخل خوارزمية Bcrypt حساسة، إذا كانت كلمة المرور المدخلة من قبل المستخدم أطول، قد يؤدي إلى بطيئة جدا أن تؤثر Bcrypt أوقات الاستجابة المحسوبة، والآخر هو والمدخلات طويلة تحقيق بعض خوارزمية Bcrypt اقتطاعها مباشرة إلى 72 بايت الذي كان يتحدث من وجهة نظر نظرية المعلومات، معلومات المستخدم الكون الذي يؤدي إلى أصغر.

الأبيض: هذا يبدو وكأنه أحد كبار.

يانغ تشينغ: ثم استخدم Bcrypt الخوارزمية. حدد السبب Bcrypt غير المهندسين دروببوإكس لضبط خوارزمية هو أكثر دراية، ومعايير الاختيار المعلمة أكثر خبرة على الانترنت الخادم دروببوإكس API يمكن حساب النتائج في حوالي 100MS. وبالإضافة إلى ذلك، على Bcrypt وScrypt التي خوارزمية أفضل، cryptographers حاسمة أيضا. وفي الوقت نفسه، تشعر دروببوإكس أيضا عن التشفير خوارزمية التجزئة الصاعد Argon2، والتي سيتم تقديمها في الوقت المناسب.

الأبيض: الطبقة الثالثة ذلك؟

يانغ تشينغ: التشفير AES آخر. لأن Bcrypt خوارزمية ليست مثالية، لذلك دروببوإكس باستخدام AES ومفتاح العالمي للحد من زيادة مخاطر كلمة المرور للخطر، وذلك لمنع تسرب مفتاح، يستخدم دروببوإكس مخصص تخزين مفتاح الأجهزة. دروببوإكس كما ذكر فائدة أخرى من استخدام النهائي التشفير AES، هذا المفتاح يمكن استبدال بانتظام للحد من مخاطر معلومات المستخدم / تسوية رئيسيا يجلب.

البيضاء: الشركة التشفير لتخزين أمن كلمات السر للمستخدم هو ضمانة، ولكن بالمقارنة مع الشركة التي كنت المعنية أكثر للمستخدم الفردي، كيف يمكننا حماية أمن كلمة السر لدينا؟

يانغ تشينغ: لدينا المستخدمين الفرديين لاستخدام الانترنت يجب إنشاء أول كلمات السر الخاصة بهم نظام معقد، واقترح ثلاثة مستويات، وتنقسم الى المعلومات المتعلقة بالخصوصية الشخصية وكلمة المرور الأساسية الملكية (لجميع أنواع الخدمات المصرفية عبر الإنترنت، والضمان الاجتماعي وغيرها من منصة الشبكة)، و المعلومات ذات الصلة كلمة السر المشتركة العامة الشخصية (لجميع أنواع المعلومات والأخبار وغيرها من منصة القراءة)، وللتسجيل اليومي والحساب وكلمة المرور على اثنين من كلمة هراء لا علاقة لها تماما (لبعض الأعمال اليومية لجميع أنواع منصة تسجيل المستخدم كما يجري استبدال هذه الآليات التشفير التي كتبها لمرة واحدة الهاتف رمز التحقق).

الأبيض: تدريس، وذلك بفضل أن يوصي هذا يانغ تشينغ المهنية التي قدمها الخبراء.

رابعا، خطر أمن المعلومات

الأبيض: أما وقد قلت ذلك، وإذا كانت كلمات مرور حساب المخزنة في نص عادي من هذه الأنظمة للخطر، ثم، ما خطر؟

الشرق الكبير: قراصنة يمكن سحب مكتبة، وضرب المكتبة، ومكتبة غسل سلسلة من العمليات لتشكيل سلسلة سوداء.

الأبيض: واحدة لتفسير ذلك.

الشرق الكبير: كانت مكتبة السحب في الأصل مخصصة لغة حقل قاعدة البيانات، في إشارة إلى تصدير البيانات من قاعدة البيانات. والآن يتم استخدامه للإشارة إلى الموقع قد تعرض للاختراق، والسلوك قاعدة بيانات المتسللين.

الأبيض: ضرب المكتبة؟

الشرق الكبير: ضرب المكتبة لاستخدام كلمة مرور حساب عدد كبير من المواقع، انتقل إلى موقع آخر في محاولة الهبوط.

الأبيض: هذه قراصنة تأخذ كلمة المرور الخاصة بك في محاولة حساباتك الأخرى، يمكن للكلمات السر مشفرة ذلك؟

الشرق الكبير: وبطبيعة الحال، يمكن سحب البيانات من، لا يمكن أن تكون كلمة المرور غير مقيدة؟

الأبيض: كلمة المرور نص عادي وهو أكثر ملاءمة للقراصنة.

الشرق الكبير: بالضبط. غسل المكتبة على شبكة الانترنت القرصنة بعد الحصول على كمية كبيرة من بيانات المستخدم، من خلال سلسلة من الوسائل التقنية وسلسلة سوداء بيانات المستخدم قيمة سوف تتحقق.

الأبيض: هو حقا وقفة واحدة "خدمة".

سلسلة سوداء

جيرو: لذا عليك أن تتذكر يانغ تشينغ المشورة المهنية التي قدمها الخبراء، يجب أن تكون المعلومات الخاصة الوعي حماية كلمة السر.

الأبيض: يجب أن نضع في اعتبارنا، لا أقول، وأنا أريد أن بسرعة تغيير كلمة المرور للذهاب!

المصدر: معهد التكنولوجيا الحاسبات

النصائح: في الآونة الأخيرة، والقناة الصغيرة مراجعة تدفق المعلومات رقم العام. كل مستخدم يمكن في كثير من الأحيان قراءة عدد اشتراك، وسوف تظهر هذه الاشتراكات وعدد كبير من البطاقات. لذلك، إذا كنت لا تفوت "صوت أكاديمية الصينية للعلوم"، والمقالة، يجب عليك القيام بما يلي: أدخل "صوت الأكاديمية الصينية للعلوم رقم العام ' فوق الزاوية اليمنى العليا ؟؟؟ القائمة حدد" مجموعة ستار "