一家专门做原产地的网站,wordpress二级栏,做公司网站推广,wordpress文章批量替换网络安全的最后一道防线——“密码” 前言超星学习通泄露1.7亿条信息事件武汉市地震监测中心遭境外网络攻击事件 一、密码起源1、 古代密码2、近代密码3、现代密码4、量子密码 二、商密专栏推荐三、如何利用密码保护账号安全#xff1f;1、账号安全的三大危险#xff1f;1、账号安全的三大危险1口令攻击2钓鱼邮件、垃圾短信、骚扰电话3木马病毒 2、干哈呢信息是咋泄漏的1谨防钓鱼网站2网络购物的收件信息切勿过于详细3警惕各类APP的授权协议4不用的手机要记得清除所有数据5“个性化服务”泄露隐私6不要随意丢弃个人单证 3、不就是信息泄露了还能咋滴1冒名办卡透支欠款2垃圾短信源源不断3账户钱款不翼而飞4坑蒙拐骗趁虚而入5冒充公安要求转账 4、诶妈呀这咋防范呢1不扫来源不明的二维码2不使用来源不明的WiFi3避免在公共平台泄露个人信息4做好线下信息防护5不轻易设置“免密支付”功能6密码设置 四、总结 前言
先来盘点一下最近耳熟能详的黑客入侵事件
超星学习通泄露1.7亿条信息事件
2022年6月20日高校学习软件“学习通”数据库信息大规模泄露包含姓名、手机号、性别、学校、学号、邮箱等信息数量多达1亿7273万条含密码1076万条。 武汉市地震监测中心遭境外网络攻击事件
今年同样因为热搜被大众熟知的武汉市地震监测中心遭境外网络攻击事件也是如此。
2023年7月26日武汉市应急管理局地震监测中心报警称该中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序该行为对我国国家安全构成严重威胁。
武汉市公安局江汉分局随即对此案立案侦查初步判定此事件为境外具有政府背景的黑客组织和不法分子发起的网络攻击行为。 武汉地震监测中心站由湖北省地震局管理包含武昌、应城、麻城、黄石、黄梅、九宫山等6个监测站主要开展地震预报预警、地震灾害风险防治和应急响应等业务工作和科研活动。
据江汉分局警情通报显示此次武汉地震监测中心遭受网络攻击后地震速报前端台站采集的地震烈度数据极有可能被窃取。
这几件事由于上了微博热搜大家可能有所耳闻但更多的安全事件是不被大众所了解的。
2021年1月5日超2亿条国内个人信息在国外暗网兜售事件 2021年2月9日针对农信社和城商行的短信钓鱼攻击事件 2021年3月15日智联、猎聘等平台简历泄漏流入黑市事件 2021年6月17日淘宝近12亿条用户数据遭泄露事件 2021年7月2日滴滴严重违法收集售卖个人信息事件 2022年4月16日我国电信设施遭网络窃密事件 2022年4月22日Fodcha僵尸网络在国内大规模传播事件 2022年10月17日深圳证监局辖区某券商OA系统遭攻击事件 2022年12月20日蔚来汽车披露数据安全事件 2023年2月12日各快递和购物平台45亿条信息泄漏事件
我们应当坦然承认当前境外敌对势力攻击能力十分强大攻击手段多样任何传统网络安全设备并非铁板一块、牢不可破。
然而亡羊补牢犹未晚也
我们应该积极思考的是当传统网络安全遭到攻击和破坏时有没有最后的一道防线来抵御
答案是确定的这道防线就是现代密码技术。
密码是网络安全的核心技术是网络空间中网络信任的基石是保护我们党、国家和人民根本利益的战略性资源更是国之重器。这一点在中国共产党创建和发展的长期历史经验中已得到广泛的验证经受了无数次考验。因此承担防御任务密码技术是合适的。
而商用密码即不涉及国家秘密的密码。包括企业、组织、个人、乃至银行金融系统都属于商用密码的范畴。所以我们平常接触到的密码大多都和商用密码息息相关。
接下来我们就来认识一下国内密码是如何划分的 接下来我们就来认识一下密码是如何诞生的
一、密码起源
密码其实早在公元前400多年就已经产生人类使用密码的历史几乎与使用文字的时间一样长。
1、 古代密码
古典密码学的历史可以追溯到公元 400 年前斯巴达人发明了“塞塔式密码”。
即把长条纸螺旋形地斜绕在一个多棱棒上将文字沿棒的水平方向从左到右书写写一个字旋转一下写完一行再另起一行从左到右写直到写完。 解下来后纸条上的文字消息杂乱无章、无法理解这就是密文但将它绕在另一个同等尺寸的棒子上后就能看到原始的消息。
这是最早的密码技术。
而在我国古代也早有以藏头诗、藏尾诗、漏格诗及绘画等形式将要表达的真正意思或“密语”隐藏在诗文或画卷中特定位置的记载即密码的雏形。
这一时期的密码学更像是一门艺术其核心手段是代换和置换。 代换是指明文中的每一个字符被替换成密文中的另一个字符接收者对密文做反向替换便可恢复出明文 置换是指密文和明文字母保持相同但顺序被打乱 代换密码的著名例子有古罗马的凯撒密码公元前1世纪和法国的维吉尼亚密码16世纪。
凯撒密码是对字母表中每个字母用它之后的第k个字母来代换。
如 明文为“comeatnine” k5将每个字母向后移动5位得到密文 密文为“htrjfysnsj” 但这种加密方式无法掩盖各字母的频率特征极易被破解。
维吉尼亚密码相比之下提升了安全性它的密钥通常是一个单词。 如 密钥为“hear” 明文为“comeatnine” 分析密钥hear,H位于26个字母第8位E位于第5位A位于第1位R位于第18位 加密时将第1个字母后移8位 第2个字母后移5位 第3个字母后移1位 第4个字母后移18位 得到密文“jsmvhxnzui” 这里的密钥为一个单词较为简单将其替换为一本厚厚的密码本即是抗战时期发电报用的密文。
2、近代密码
密码形成一门新的学科是在20世纪70年代这是受计算机科学蓬勃发展刺激和推动的结果。
计算机和电子学时代的到来给密码设计者带来了前所未有的自由
这一阶段真正开始源于香农在20世纪40年代末发表的一系列论文特别是1949年的《保密系统通信理论》把已有数千年历史的密码学推向了基于信息论的科学轨道。
近代密码发展中一个重要突破是“数据加密标准”DES的出现。
DES密码的意义在于首先其出现使密码学得以从政府走向民间其设计主要由IBM公司完成国家安全局等政府部门只是参与其中最终经美国国家标准局公开征集遴选后确定为联邦信息处理标准。其次DES密码设计中的很多思想Feistel结构、S盒等被后来大多数分组密码所采用。再次DES出现之后不仅在美国联邦部门中使用而且风行世界并在金融等商业领域广泛使用。 随着计算机的进步现在DES已经可以被暴力破解了 简单来说其加密的原理如下 加密步骤如下细化加密步骤看不懂可以直接跳过
因为DES的密钥长度是64比特也就是8个字节。但是DES每隔7 比特会设置一个错误校验位它的第8、16、24、32、40、48、56、64位是校验位使得每个密钥都有奇数个1所以真正的密钥长度是56比特只有56位参与DES运算。
DES加密首先要进行IP置换⽬的是将输⼊的64位数据块按位重新组合并把输出分为L0、R0两部分每部分各长32位。
然后密钥置换不考虑每个字节的第8位DES的密钥由64位减⾄56位每个字节的第8位作为奇偶校验位。产⽣的56位密钥由规则表⽣成
在DES的每⼀轮中从56位密钥产⽣出不同的48位⼦密钥确定这些⼦密钥的⽅式如下 1).将56位的密钥分成两部分每部分28位。 2).根据轮数这两部分分别循环左移1位或2位。每轮移动的位数按规则表 移动后从56位中选出48位。这个过程中既置换了每位的顺序⼜选择了⼦密钥因此称为压缩置换。压缩置换规则按规则表
其次进行扩展置换扩展置换⽬标是IP置换后获得的右半部分R0将32位输⼊扩展为48位(分为4位×8组)输出。
最后一步是S盒代替把压缩后的密钥与扩展分组异或以后得到48位的数据将这个数据送⼈S盒进⾏替代运算。替代由8个不同的S盒完成每个S盒有6位输⼊4位输出。48位输⼊分为8个6位的分组⼀个分组对应⼀个S盒对应的S盒对各组进⾏代替操作。 3、现代密码
1976 年美国密码学家提出“公钥密码”概念。此类密码中加密和解密使用不同的密钥其中用于加密的叫做公钥用于解密的为私钥。
1977年美国麻省理工学院提出第一个公钥加密算法RSA算法之后ElGamal、椭圆曲线、双线性对等公钥密码相继被提出密码学真正进入了一个新的发展时期。
RSA算法属于非对称密码的一种除此之外还有流密码RC4非对称密码ECC等等
以广为使用的RSA算法为例它的安全性是建立在大整数素因子分解在计算机上的困难性。
比如 对于整数22我们易于发现它可以分解为2和11两个素数相乘 但对于一个500位的整数即使采用相应算法也要很长时间才能完成分解。 但随着计算能力的不断增强和因子分解算法的不断改进特别是量子计算机的发展公钥密码安全性也渐渐受到威胁。所以研究者们开始关注量子密码、格密码等抗量子算法的密码。
4、量子密码
量子密码技术是一种新的重要加密方法它利用单光子的量子性质借助量子密钥分配协议可实现数据传输的可证性安全。
量子密码具有无条件安全的特性 即不存在受拥有足够时间和计算机能力的窃听者攻击的危险 提到量子密码不得不聊聊国产加密算法 SM2加密算法中国第一个纳入国际密码标准的密码算法 SM3加密算法被纳入国际标准并发布! SM4加密算法被纳入ISO/IEC国际标准正式发布 SM9加密算法我国首个全体系纳入ISO/IEC标准的非对称密码算法 ZUC序列密码算法再次顺利成为ISO/IEC国际标准
而这些国产密码技术发展壮大的同时也构成了现在商用密码的基础
二、商密专栏推荐
2023年7月1日起施行《商用密码管理条例》 2023年11月1日起施行《商用密码应用安全性评估管理办法》 商密内容很多很杂很难展开叙述我目前还没这个能力所以点到为止。写此文目的之一也是推荐商密专栏感兴趣可以在专栏中共同学习商密!
商用密码专栏
商用密码思维导图下载 三、如何利用密码保护账号安全
近年来随着登录账号二次安全认证的推行盗号难度有所提升。
但很多人仍习惯将密码设置为生日、手机号、纪念日、姓名等简单信息以及“一套密码走天下”。
这样的密码简单重组容易被爆破。不法分子也通过各种邮件话术、手段 (如链接、二维码等) 诱导用户主动交出账号密码以及验证码。那么我们要如何抵御盗号威胁呢?
首先要了解账号到底存在什么危险
1、账号安全的三大危险
1口令攻击
口令攻击包含暴力破解和撞库。
暴力破解指的是不断更换密码尝试登陆账号一般频率较高产生大量登陆失败。 首先攻击者要确定攻击目标
攻击者使用扫描器扫描邮件域名服务器是否开启了可攻击的端口如25smtp110pop3143imap。
其次攻击者准备攻击武器库
根据攻击目标暴露的个人信息姓名、手机号、qq号等生成不同组合的密码字典 如前缀qq32132332qq1266346234 前缀 姓名手机号xiaoming13923452712 等等… 最后攻击者开始尝试攻击
设置需要进行攻击的账号、攻击武器库、攻击的频率等开始不断尝试攻击直到尝试成功或武器库用完为止。 撞库指的是利用社工库中查到的密码尝试登陆攻击频率低针对性强命中率高。
由于用户可能在不同网站使用相同的账号密码所以可以拿到一个账号密码信息后进行撞库。
2钓鱼邮件、垃圾短信、骚扰电话
这种情况黑客会冒充邮件管理人员发送第三方钓鱼链接在邮件正文中带有指向网站的链接诱导相关人员点击从而盗窃账号密码
而垃圾短信中同样包含链接的也是存在安全隐患。
如果说你已经收到国垃圾邮件和垃圾短信说明你的邮箱号和手机号已经泄漏了但作为用户本身根本察觉不到什么时候泄漏以及如何泄漏的。
同理当密码泄漏时自身也很难察觉到
3木马病毒
木马想必大家都已经很熟悉了但这些还是有必要了解提高警惕
比如黑入手机摄像头实现无声拍照 包括对正脸进行拍照摄像头不会闪光哦采集正脸照片可以用来干嘛不需要我多说了吧 比如黑入手机音频远程开启录音 尤其是对某些数字的读音会被二次利用作为其他平台登录的语音验证 比如黑入手机远程查看通讯录短信微信聊天记录记事本等等 说了这么多那这些信息到底是怎么泄漏的呢
2、干哈呢信息是咋泄漏的
1谨防钓鱼网站
不要轻信手机上的中奖信息陌生网址切记莫点击钓鱼网址惯用的手段之一就是“恭喜中 奖” 2网络购物的收件信息切勿过于详细
很多人在填写收件信息时为了方便快递送上门会将地址写的很详细取件后也会将留有个人信息的快递袋随手一扔这会让“有心人”钻了空子 3警惕各类APP的授权协议
APP一定要从正规的官方渠道下载要看清APP的各类授权协议尤其是关于个人隐私或支付的条款。 4不用的手机要记得清除所有数据
换新手机后很多人会将旧手机变卖而存在手机里未删除干净的信息资料会让不法分子有了可乘之机。
5“个性化服务”泄露隐私
很多个性化服务都需要个人信息不少商家与社交网站合作通过无线网络确定用户位置从而推送商品或服务用户就会被实时“监控”。 6不要随意丢弃个人单证
很多时候我们会将作废的快递单、火车票、银行对账单随意丢弃。这些单证有姓名、银行卡号、身份证号等信息随意丢弃会造成个人信息泄露。
3、不就是信息泄露了还能咋滴
1冒名办卡透支欠款
有人通过买来你的个人信息复制你的身份证在网上骗取银行的信用从银行办理出各种各样的信用卡恶意透支消费然后银行可能直接将欠费的催款单寄给了身份证的主人。
2垃圾短信源源不断
个人信息被泄露后你的邮箱可能每天都会收到多封垃圾邮件也是以推销为主而且是乱七八糟且没有创意的广告还可能会经常被陌生人打电话有推销保险的有推销装修的有推销婴儿用品的。 3账户钱款不翼而飞
有些不法分子办一张你的身份证然后挂失你的银行账户或信用卡账户然后重新补办你的卡再设置个密码如果你长时间不使用银行卡里面的钱款说不定已经不翼而飞了。
4坑蒙拐骗趁虚而入
因为知道了你的个人信息那些躲在暗处的人会编出来些耸人听闻的消息甚至对你的朋友、同学或亲戚知根知底还能报出姓名与单位在你心神不宁之时可能做出错误判断在慌乱中上了骗子的当。
5冒充公安要求转账
不法分子冒充公安的名义报出你的个人信息然后说最近经常发生诈骗案件提醒你某个帐户不安全要你转账还告诉你一个公安咨询电话你一打那个电话还会得到确认然后你会信以为真进行转账。 4、诶妈呀这咋防范呢
1不扫来源不明的二维码
不法分子会以免费拿礼物为诱惑让你扫二维码然后注册APP注册的过程中会填写手机号证件号等这样你的个人信息就不知不觉泄露了。
2不使用来源不明的WiFi
在公共场合尽可能使用手机自带的数据流量不要连接公共场合的WiFi更不要用公共WiFi进行付款。
3避免在公共平台泄露个人信息
不要在网上晒个人证件及银行卡、保单、手机短信、出行票据等敏感信息关闭软件中非必要“定位”“附近的人”“允许陌生人查看”等权限。 4做好线下信息防护
带有个人信息的快递盒、外卖单等都要销毁相关信息后再处理。遇到陌生人让你做“问卷调查”可送小礼物时不要贪图小便宜暴露自己的个人信息。
5不轻易设置“免密支付”功能
为了安全起见尽量不设置“免密支付”功能如果一定要开通的话要将银行卡设定日度限额或单次支付限额一旦出现意外可避免损失扩大。 网警提醒个人信息关乎我们自身利益保护个人信息应从自我做起当遇到个人信息被泄露时应当拿起法律武器来保护自己。
6密码设置
归根到底密码依然是最后一道把关的防线即便前面都失误了黑客拿到了你的手机号生日家庭联系人聊天记录数字语言人脸照片。。。。。。
但是
还有密码
我个人建议密码设置时尽量遵循以下几点
1、密码长度最好 8 位或以上 2、没有明显的组成规律尽量不要与个人信息相关例如生日、身份证号 3、尽可能的使用三种以上符号比如「字母」「数字」「特殊符号」组合 4、选取一个基础密码。 可以是一个成语一句诗句家人生日宠物名字…一定是自己熟悉的东西。 比如我的网名是九芒星密码设为「 jmx791myfbdhyzsct 」 九芒星791没有风暴的海洋只是池塘 5、叠加网站名称进行混合。 比如 京东JD或邮箱youxiang 混合叠加到基础密码中 京东的生成密码是「Jbeauty2017 D」QQ邮箱密码是「youbeauty2017!xiang」 以此类推。 6、添加一套自己的密码变化规则 比如银行支付系统的密码设置为最喜欢的一首歌手名字缩写加基础密码 比如聊天软件设置为喜欢的一首诗缩写加基础密码 等等… 四、总结
最后还是希望大家可以保护好个人信息关乎我们切身利益的事情不容疏忽。
商用密码我也在学习中欢迎来专栏我们共同学习共同进步
商密专栏
