Email:Dansnow@21cn.com OICQ:99118 (仅此一个号码)

特别邀请CCB管理论坛

论坛名称:溯雪论坛  版主:dansnow CCB http://www.netXeyes.com/


将文章加入您的收藏夹 将本页发给您的朋友 将本页输出到打印机
文章标题: 谈谈密码的设定    搜索freeshadow所有的帖子 查看freeshadow的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给freeshadow留言 给freeshadow发信 访问freeshadow的主页 freeshadow的OICQ号码:13120720 freeshadow的IP地址:202.104.39.* 删除此帖子

谈谈密码的设定

**********************************
by.Free Shadow
2001.02.14
关键词:网络安全、密码设定

主页:www.wuyou.org
祝所有没有情人的人的情人节快乐
**********************************
1.前言
我之所以知道小榕的作品,是因为一篇文章《从溯雪谈密码安全》(原作者是
谁忘了)。今天,我也来谈谈密码设定的问题。本文主要根据本人经验去讨论如何
去设定一个容易记忆,一定程度对抗社会工程学、较难用工具穷举的密码。

2.常见密码编码技术
谈密码设定,必须先谈所用的密码编码技术。当前常见的密码编码技术,主要
是DES,其基本算法可以从http://www.netxeyes.com/deshowto.html找到,简单地
说就是以一个64bit地密匙通过16次替换和异位将明文加密,而在这64bit中,有八
位做了校验码,实际上只有56bit是有效密匙。而现在美国政府已经对128bit的DES
开禁,128bit开始步近我们。我们知道,一个ascii码是7bit,所以ascii码组成的
密匙最长只能是57/7=8位,当密匙超出八位后,只截取前八位使用。而中文是
8bit,所以不能成为DES的密匙。
从另一个角度讲,DES是以密匙空间换取安全,在前面所述的56bit密匙编码的
情况下,穷举(知道密文)的话必须2^56次才能碰出来。
在97年RSA公司的竞赛中,“DESCHALL”统计的结果(当时是以全球数百万台计
算机一起跑,以下时间是以此运算能力评估)
密匙长度:穷举时间
40:78秒
48:5小时
56:59天(实际上那次是以96天的成绩结束运算)
64:41年
72:10,696年
80:2,738,199年
88:700,978,948年
96:179,450,610,898年
112:11,760,475,235,863,837年
128:770,734,505,057,572,442,069年
怎样?还有兴趣去碰运气算别人的密码吗?当然,我坚信Phil Zimmermann
说的“没有哪个数据安全系统是牢不可破的。”(PGP作者)。

***********************************
待续
——————————
(节选自《我不是黑客》)Hacker的定义是:对某种专业狂热爱好、掌握该专业复杂技术的人.你可以在Linux的文档中看到,Linux是由Hacker们构造的,请明白,那些Hacker们不是指那些破坏别人主机的人!Hacker是干什么的?他们是技术的狂热爱好者,是旧技术的批判者是新技术的奠基人!但时下的人在干什么?请恕我直言,那些人只是些地痞流氓,学了些花拳绣腿,就去欺负手无寸铁的老弱. 		离线
MSIE 5.0 Windows 98
作者: freeshadow http://www.wuyou.org/ 时间:2001-02-15.03:03:32 来源: gd
Re:谈谈密码的设定    搜索freeshadow所有的帖子 查看freeshadow的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给freeshadow留言 给freeshadow发信 访问freeshadow的主页 freeshadow的OICQ号码:13120720 回复 Re:谈谈密码的设定 freeshadow的IP地址:202.104.40.* 删除此帖子

 ***********************************
繁重的工作使我喘不过气来,所以这篇下文要现在才补上来。
***********************************

上文总结:请使用足够八位的密码,必须包括大写字母,小写字母,特殊字符及空格
(空格是对付某些字典的)。


3.“社会工程学”
总的来说,针对密码的社会工程学(请允许我用这个词,其实我也不知道这词到底是什
么意思),其实就是窃取盗用密码。办法无非以下几种
1.Sniffer类网络监听或键盘中断监听。sorry,本文介绍的办法不能对付这个问题。
请使用ssl或其他加密通信的办法对抗。不过你可以在login(UNIX类)时,故意数次输
错ID,因为Sniffer一般只记录最开始的数据。另不要使用不信任的设备。
2.内部工作人员。指的是必须获得权限,而密码由你设定并分配的情况。处理办法请
看下文。
3.在你背后偷窥者。我一位财务工作的朋友告诉我,他能在5米外判断别人在按什么
数字(小键盘)^O^。处理办法见下文。
4.本机误中木马,密码资料被秘密外传。不少人的密码都是明文直接放在自己的机器
上(因为太多密码了),一旦误中木马,将会损失惨重。请不要这样做(明文放置密码,
哪怕是放在你的钱包里)。并请定时杀毒。处理办法下文。
5.密码密文被盗取,正在被人用穷举办法破解。除了参照上文,处理办法见下文。
6.获知你的个人资料猜测你的密码。请不要用你知道的任何资料(你gf的名字,你养的
狗的名字,你仇人的名字,你的电话号码,你的身份证号码,任何人的生日,一些常
见的单词,地点的名字,任何的计算机指令,键盘上的单词,其他任何容易联想到你
的词,任何上述词再加上一些数字)作为你的密码。


**********************
下文待续
**********************
——————————
(节选自《我不是黑客》)Hacker的定义是:对某种专业狂热爱好、掌握该专业复杂技术的人.你可以在Linux的文档中看到,Linux是由Hacker们构造的,请明白,那些Hacker们不是指那些破坏别人主机的人!Hacker是干什么的?他们是技术的狂热爱好者,是旧技术的批判者是新技术的奠基人!但时下的人在干什么?请恕我直言,那些人只是些地痞流氓,学了些花拳绣腿,就去欺负手无寸铁的老弱. 		离线
MSIE 5.0 Windows 98
作者: freeshadow http://www.wuyou.org/ 时间:2001-02-18.00:53:50 来源: gd

Re:谈谈密码的设定    搜索freeshadow所有的帖子 查看freeshadow的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给freeshadow留言 给freeshadow发信 访问freeshadow的主页 freeshadow的OICQ号码:13120720 回复 Re:谈谈密码的设定 freeshadow的IP地址:202.104.35.* 删除此帖子

 ***************************
在说了一堆废话后,让我们来看看怎样设置密码以适合我们。
1.容易记忆。(废话)
2.定时更改。(不过改多几次可能就忘了到底是那一个了)
3.不同的站台使用不同的密码。(天啊,我现在已经在管理几个站台共十多个密
码,另外还有个人的各式密码,而且以后还要增加,你要我怎记啊)

***************************

呵呵,希望连续三篇这个要求那个要求没吓着您。接下来我就说说我的处理办法吧,
若果您有什么看法或建议,特别是看出有什么漏子,请一定告诉我,
MailTo:freeshadow@wuyou.org
我的密码的格式是!!!!!!!

[我的常用ID的缩写(两个字母)][站台名字(两个字母)][空格][本月第一天是期几的对应特殊字符(一个字母)][您在该站台所用ID的对应数字相加再加本月最后一天是星期几]
例如这个月我在163.net的E-Mail:gzbmp可能使用的密码是:fS1n $13

呵呵,希望您能看明白^!^
我来解释一下
[我的常用ID的缩写(两个字母)]:不用说我是Free Shadow,所以头两个字母是fS,
请注意的是第一个字母是小写而第二个字母是大写,某些字典工具常猜测第一个
字母是大写^O^。
[站台名字(两个字母)]:163.net那就是1n啦,163.com是1c,hotmail.com那就
是hc。
[空格]:谋杀某些字典。
[本月第一天是期几的对应特殊字符(一个字母)]:本月是2001.2月,2月一日是周4,
看清楚你的键盘,4的上面是不是“$”?然后上个月(2001.1)是“!”了。
[您在该站台所用ID的对应数字相加再加本月最后一天是星期几]:我在163.net用
的ID是gzbmp,缩写是gb,也请看清楚这两个字母往上推对应的数字键,都是“5”,
而这个月的最后一天是周三,然后“5+5+3=13”。
全部加起来这个月我在163.net用的密码就是:fS1n $13
而上个月是:fS1n !13
下个月是:fS1n $16

当然,我只是告诉你如何去变化,而不是教您去直接套用这个公式。
下文再教你如何去对付不同的情况。
*********************
待续
*********************
——————————
(节选自《我不是黑客》)Hacker的定义是:对某种专业狂热爱好、掌握该专业复杂技术的人.你可以在Linux的文档中看到,Linux是由Hacker们构造的,请明白,那些Hacker们不是指那些破坏别人主机的人!Hacker是干什么的?他们是技术的狂热爱好者,是旧技术的批判者是新技术的奠基人!但时下的人在干什么?请恕我直言,那些人只是些地痞流氓,学了些花拳绣腿,就去欺负手无寸铁的老弱. 		离线
MSIE 5.0 Windows 98
作者: freeshadow http://www.wuyou.org/ 时间:2001-02-18.22:12:15 来源: gd

Re:谈谈密码的设定    搜索freeshadow所有的帖子 查看freeshadow的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给freeshadow留言 给freeshadow发信 访问freeshadow的主页 freeshadow的OICQ号码:13120720 回复 Re:谈谈密码的设定 freeshadow的IP地址:202.104.37.* 删除此帖子

 其实,归根到底,只不过是先在你脑里牢记一个算式而已,而这个算式要用到一些
“变量”,至于这个“变量”的选择,就由你喜欢了(我选择了每月第一天是星期
几,你呢?)。当你输入密码的时候,旁人就会看见你东瞧瞧西看看,然后又低头
寻思一会儿,才输入密码^O^
作为一个在网络混饭吃的人,难免要管理密码,选择随机的密码当然最好,例
如“5fP&3o!L”这样的东西,但密码一多,就很难记忆了,而且上文也说了,这些
东西不宜记在本子上,还要定时更换,还要防御别人偷窥,还要不容易猜测......
而采用这种办法(不是采用这个公式哦^!^),就解决大部分的问题,你只要记住一
个你自己设定的公式,然后对应不同的站台时间人士设定&输入不同的密码即可。
如果攻击者用的是字典攻击,因为你的密码足够八位,他将会花费大量的时间,当
他算出来,你已经更改密码了。而且我已经考虑到某些工具的漏洞,密码本身就可
以抵御部分弱智攻击。
如果他是在你背后偷窥,因为你的输入全部在大键盘部分,将加大他的难度(当然
你也需要注意)。这个问题可以参阅我的《社会工程一二事》
你现在全部的密码都只不过是你脑里的一个公式,旁人当然没办法在你的记事本或
计算机里上找到你的密码,木马自然也没办法(不过可不要让计算机记住你的密码哦)。
而因为几乎全部的内容都是用某种算式转换过,也比较难从你的个人资料里猜测。
而当你是密码管理者,需要分配密码给你的同事时,这也是一个比较好的办法,当
你改变密码后,他比较难从旧的密码猜测新的密码。

觉得怎样?如果你真的要用这个办法,记得想一个合适你的公式而不要直接直抄贴在
上面的哦,我知道你一定能想出一个更方便的公式的!

****************************
全文完......我也知道写的很差,提出的办法也很差。权当是抛砖引玉吧。





——————————
(节选自《我不是黑客》)Hacker的定义是:对某种专业狂热爱好、掌握该专业复杂技术的人.你可以在Linux的文档中看到,Linux是由Hacker们构造的,请明白,那些Hacker们不是指那些破坏别人主机的人!Hacker是干什么的?他们是技术的狂热爱好者,是旧技术的批判者是新技术的奠基人!但时下的人在干什么?请恕我直言,那些人只是些地痞流氓,学了些花拳绣腿,就去欺负手无寸铁的老弱. 		离线
MSIE 5.0 Windows 98
作者: freeshadow http://www.wuyou.org/ 时间:2001-02-20.03:42:47 来源: gd

Re:Re:谈谈密码的设定    搜索拐卖少女社社长所有的帖子 查看拐卖少女社社长的信息 回复时引用此贴 复制此贴内容 将本贴子内容通过email打包下载 给拐卖少女社社长留言 给拐卖少女社社长发信 拐卖少女社社长的OICQ号码:2423905 回复 Re:Re:谈谈密码的设定 拐卖少女社社长的IP地址:61.157.185.* 删除此帖子

 这样好的文章居然没人看!
我翻!
——————————
俺的爱好就是打来吃! 		离线
MSIE 5.0 Windows 98
作者: 拐卖少女社社长  时间:2001-04-01.02:28:11 来源: 61.157.185.*

管理选项: 关闭主题 | 从精华区中移出 | 删除主题
本论坛言论纯属发表者个人意见,与 蓝色巴别塔 立场无关
论坛服务由 蓝色巴别塔 提供 技术支持:Yuzi工作室