清华百年,举世都得瞩目,因为她是那么重要,中国的科技发展、经济命脉、教育成果、建筑特色、水利环境、政治动向,很大程度上是由这所学校培养出来的学生决定的。前面那些领域不好统计,但有人已经用精准的数据列出了清华出身的高官数量。说清华群是中国政治版图中的巨无霸,别说北大人大复旦浙大没有二话,就连牛津剑桥哈佛耶鲁也得暗挑大趾。
从基本教养上讲,勋章和桂冠应该是别人授的,而不是自己颁的。对于清华这所拥有高考状元最多、智商情商高到爆棚的学校来说,其他对手都四夷来朝了,清华本身自信到谦卑的程度,应该不在话下。那好,请允许我们说几句风凉话。 Read the rest of this entry »
到目前为止,虽然还算是菜鸟,至少不是初级菜鸟了。推脱、担当、寻求支持等等这些初级伎俩已经学会应用,这些伎俩同时也是做好分内的事、不抢别人的事的具体体现。现在主要要说的、有感而发想说的其实还是老生常谈。摆正位子,当然,主要是自己的;领会意图,当然,主要是领导的,特别是直接领导的。 Read the rest of this entry »
<p>大部分用户密码被盗多是因为缺少网络安全保护意识以及自我保护意识,以致被黑客盗取引起经济损失,今天我们将讨论一下针对昨天十类破解方法的对策,也举出十类密码安全和保护措施,可以帮助用户提高网络安全意识。 <p>1、使用复杂的密码 <p> 密码穷举对于简单的长度较少的密码非常有效,但是如果网络用户把密码设的较长一些而且没有明显规律特征(如用一些特殊字符和数字字母组合),那么穷举破解工具的破解过程就变得非常困难,破解者往往会对长时间的穷举失去耐性。通常认为,密码长度应该至少大于6位,最好大于8位,密码中最好包含字母数字和符号,不要使用纯数字的密码,不要使用常用英文单词的组合,不要使用自己的姓名做密码,不要使用生日做密码。 <p>2、使用软键盘 <p> 对付击键记录,目前有一种比较普遍的方法就是通过软键盘输入。软键盘也叫虚拟键盘,用户在输入密码时,先打开软键盘,然后用鼠标选择相应的字母输入,这样就可以避免木马记录击键,另外,为了更进一步保护密码,用户还可以打乱输入密码的顺序,这样就进一步增加了黑客破解密码的难度。 <p>3、使用动态密码(一次性密码) <p><a href=”http://www.williamlong.info/archives/752.html”>动态密码</a>(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。动态密码对于截屏破解非常有效,因为即使截屏破解了密码,也仅仅破解了一个密码,下一次登录不会使用这个密码。不过鉴于成本问题,目前大多数动态密码卡都是刮纸片的那种原始的密码卡,而不是真正意义上的一次性动态密码,其安全性还是难以保证。真正的动态密码锁采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏。其中数字键用于输入用户 PIN码,显示屏用于显示一次性密码。每次输入正确的PIN码,都可以得到一个当前可用的一次性动态密码。由于每次使用的密码必须由动态令牌来产生,而用户每次使用的密码都不相同,因此黑客很难计算出下一次出现的动态密码。不过真正的动态密码卡成本在100到200元左右,较高的成本限制了其大规模的使用。 <p>4、网络钓鱼的防范 <p> 防范钓鱼网站方法的方法是,用户要提高警惕,不登录不熟悉的网站,不要打开陌生人的电子邮件, 安装杀毒软件并及时升级病毒知识库和操作系统补丁。使用安全的邮件系统,Gmail通常会自动将钓鱼邮件归为垃圾邮件,IE7和FireFox也有网页防钓鱼的功能,访问钓鱼网站会有提示信息。 <p>5、使用SSL防范Sniffer <p> 传统的网络服务程序,HTTP、FTP、SMTP、POP3和Telnet等在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,嗅探器非常容易就可以截获这些口令和数据。对于Sniffer(嗅探器),我们可以采用会话加密的方案,把所有传输的数据进行加密,这样Sniffer即使嗅探到了数据,这些加密的数据也是难以解密还原的。目前广泛应用的是SSL(Secure Socket Layer)就可以方便安全的实现加密数据包传输,当用户输入口令时应该使用支持SSL协议的方式进行登录,例如HTTPS、SFTP、SSH而不是 HTTP、FTP、POP、SMTP、TELNET等协议。Google的大多数服务包括Gmail都支持SSL,以防止Sniffer的监听,SSL的安全验证可以在不安全的网络中进行安全的通信。 <p>6、不要保存密码在本地 <p> 将密码保存在本地是个不好的习惯,很多应用软件(例如某些FTP等)保存的密码并没有设计的非常安全,如果本地没有一个很好的加密策略,那将让黑客破解密码大开方便之门。 <p>7、使用USB Key <p>USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。由于USB Key的安全度较高,且成本只有几十元,因此USB Key广泛应用于网上银行的数字证书加密。使用USB Key后,即使黑客完全远程控制了用户的电脑,也无法成功进行登录认证交易。 <p>8、个人密码管理 <p> 要保持严格的密码管理观念,实施定期更换密码,可每月或每季更换一次。永远不要将密码写在纸上,不要使用容易被别人猜到的密码。 <p>9、密码分级 <p> 对于不同的网络系统使用不同的密码,对于重要的系统使用更为安全的密码。绝对不要所有系统使用同一个密码。对于那些偶尔登录的论坛,可以设置简单的密码;对于重要的信息、电子邮件、网上银行之类,必需设置为复杂的密码。永远也不要把论坛、电子邮箱和银行账户设置成同一个密码。 <p>10、生物特征识别 <p> 生物特征识别技术指通过计算机,利用人体所固有的生理特征或行为特征来进行个人身份鉴定。常用的生物特征包括:指纹、掌纹、虹膜、声音、笔迹、脸像等。 生物特征识别是一种简单可靠的生物密码技术,生物识别技术认定的是人本身,由于每个人的生物特征具有与其他人不同的惟一性,以及在一定时期内不变的稳定性,不易被伪造和假冒,因此,可以在最大限度地保证个人资料的安全。目前人体特征识别技术市场上占有率最高的是指纹机和手形机,这两种识别方式也是目前技术发展中最成熟的。 <p> 以上是我总结的十个常用网络密码的安全保护措施,通过这些措施,可以提高网络用户的安全观念,保护个人的机密信息,提高网上交易系统的安全指数。如果你也有其他有效的安全保护措施,请留言告诉我。</p>
<p> 个人网络密码安全是整个网络安全的一个重要环节,如果个人密码遭到黑客破解,将引起非常严重的后果,例如网络银行的存款被转账盗用,网络游戏内的装备或者财产被盗,QQ币被盗用等等,增强网民的网络安全意识是网络普及进程的一个重要环节,因此,在网民采取安全措施保护自己的网络密码之前,有必要了解一下流行的网络密码的破解方法,方能对症下药,以下是我总结的十个主要的网络************方法。 <p>1、暴力穷举 <p> ************技术中最基本的就是************,也叫密码穷举。如果黑客事先知道了账户号码,如邮件帐号、QQ用户帐号、网上银行账号等,而用户的密码又设置的十分简单,比如用简单的数字组合,黑客使用************工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。 <p>2、击键记录 <p> 如果用户密码较为复杂,那么就难以使用暴力穷举的方式破解,这时黑客往往通过给用户安装木马病毒,设计“击键记录”程序,记录和监听用户的击键操作,然后通过各种方式将记录下来的用户击键内容传送给黑客,这样,黑客通过分析用户击键信息即可破解出用户的密码。 <p>3、屏幕记录 <p> 为了防止击键记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而破解这类方法的用户密码。 <p>4、网络钓鱼 <p> “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动,受骗者往往会泄露自己的敏感信息(如用户名、口令、帐号、PIN码或信用卡详细信息),网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站,骗取用户帐号密码实施盗窃。 <p>5、 Sniffer(嗅探器) <p> 在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用 Sniffer程序。Sniffer,中文翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被Sniffer程序监听。 <p>6、 Password Reminder <p> 对于本地一些保存的以星号方式密码,可以使用类似Password Reminder这样的工具破解,把Password Reminder中的放大镜拖放到星号上,便可以破解这个密码了。 <p>7、远程控制 <p> 使用远程控制木马监视用户本地电脑的所有操作,用户的任何键盘和鼠标操作都会被远程的黑客所截取。 <p>8、不良习惯 <p> 有一些公司的员工虽然设置了很长的密码,但是却将密码写在纸上,还有人使用自己的名字或者自己生日做密码,还有些人使用常用的单词做密码,这些不良的习惯将导致密码极易被破解。 <p>9、分析推理 <p> 如果用户使用了多个系统,黑客可以通过先破解较为简单的系统的用户密码,然后用已经破解的密码推算出其他系统的用户密码,比如很多用户对于所有系统都使用相同的密码。 <p>10、密码心理学 <p> 很多著名的黑客破解密码并非用的什么尖端的技术,而只是用到了密码心理学,从用户的心理入手,从细微入手分析用户的信息,分析用户的心理,从而更快的破解出密码。其实,获得信息还有很多途径的,密码心理学如果掌握的好,可以非常快速破解获得用户信息。 <p> 好了,以上就是我总结了一些网络************的常用方法,如果你也有其他不同的破解方法,请留言告诉我。</p>
<p>USB Key是一种USB接口的硬件存储设备。USB Key的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USB Key有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法可以实现对用户身份的认证。目前USB Key被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。 <p> USB Key在网上银行中,被用作客户数字证书和私有密钥的载体,在网络上鉴别用户身份处于极其关键的地位。而网上银行首要的关键问题就是安全,安全是所有一切的基础,没有安全的网银还不如没有网银。一些新闻报道的国内某某银行几十万资金通过网银被盗,都给网上银行带来巨大的负面影响,让人对于USB Key的网上银行认证的安全性产生怀疑和顾虑。 <p> 本文将从技术的角度出发,详细论述一下目前中国网上银行使用的USB Key的安全性以及可能存在的风险和漏洞。当然,一个网银系统的安全,涉及到的理论知识非常多,不仅仅要懂得大学课程《密码学》的全面知识,还要知道最新加密锁和USB Key的产品动态,进行全面的网银评测并不是那么简单的事情。本文也仅仅起个抛砖引玉的作用,欢迎各方高手继续补充和讨论。 <p> 行业安全专家基本都公认USB Key是安全可靠的,那么USB Key为什么是安全的呢?目前有几个重要的性能指标能够说明USB Key的安全性。 <p>1、硬件PIN码保护 <p> 黑客需要同时取得用户的USB Key硬件以及用户的PIN码,才可以登录系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。 <p>2、安全的存储介质 <p> USB Key的密钥存储于安全的介质之中,外部用户无法直接读取,对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。 <p>3、公钥密码体制 <p>公钥密码体制和数字证书从密码学的角度上保证了USB Key的安全性,在USB Key初始化的时候,先将密码算法程序烧制在ROM中,然后通过产生公私密钥对的程序生成一对公私密钥,公私密钥产生后,公钥可以导出到USB Key外,而私钥则存储于密钥区,不允许外部访问。进行数字签名时以及非对称解密运算时,有私钥参与的密码运算只在芯片内部即可完成,全过程中私钥可以不出USB Key介质,以此来保证以USB Key为存储介质的数字证书认证在安全上无懈可击。 <p>4、硬件实现加密算法 <p> USB Key内置CPU或智能卡芯片,可以实现数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,保证了用户密钥不会出现在计算机内存中。 <p> 以上几点是USB Key在理论上安全性的技术保证,但是从技术角度分析,这些安全性能指标往往也存在一些容易被忽视的漏洞。 <p>1、硬件 PIN码就绝对安全吗? <p> 目前的大多数银行使用的USB Key的PIN吗都是从电脑上输入的,因此黑客可以通过木马程序直接拦截到USB Key的PIN码,这也是目前大多数USB Key存在的一个漏洞。知道了PIN码后,如果用户忘记将USB Key从电脑上取出,那么黑客还可以进一步通过PIN码来操作USB Key.一个非常极端的情况,当个人用户的电脑已经完全被黑客远程控制,并且所有键盘和屏幕的操作都会被拦截的时候,目前的USB Key是否还能保证安全交易呢?我看未必,因为此时USB Key的PIN码已经完全可能会被黑客拦截,当用户操作完一次USB Key后,假如没有立即拔出USB Key,那么黑客完全可能在这个间歇期伪造一次交易,而此时USB Key以及PIN码都可以验证通过。 <p>2、外部真的无法读取Key内部的密钥吗? <p> USB Key的密钥从“理论”上讲是无法从外部直接读取的,这个“理论”上指的是设计上要绝对安全,如果设计和编写USB Key操作系统COS的人在COS上留了后门,那么这个人就可以从外部读取Key内部的密钥。 <p>3、数字证书 <p> 公钥密码体制的确是很安全的,通过复杂的证书管理体系来增加破解的难度,但是数字证书是否是第三方CA机构发放的呢?有些银行的数字证书竟然是银行自己发放的,这就让PKI安全认证大打折扣了。 <p>4、如何保证通讯安全 <p> 虽然USB Key内置CPU或智能卡芯片可以完成加密运算,但是数据从电脑上传入USB Key的过程中还是有可能被拦截和修改,USB Key内置的CPU只能保证自身的运算安全,却难以保证数据传入前不被修改。 <p> 那么,理想中安全的USB Key应该是什么样子的呢? <p>1、针对现有USB Key的键盘输入PIN码的漏洞,可以使用生物技术(例如个人指纹)来替换键盘录入PIN码。 <p> 也就是说,交易时候接入USB Key,我们不需要再到键盘录入PIN码来验证身份,我们只需要在USB Key的设备上按一下指纹,就能自动验证个人身份,这种身份验证机制带来的安全性和实用性是一种跨时代的提高,用户不可能再忘记密码了,只需要验证指纹即可,指纹的验证实在外部设备上进行的,电脑即使被黑客完全控制也无法截取到用户的指纹,从而保证了PIN码的唯一性和安全性。 <p>2、通过管理或者审计防止COS在设计上留有后门。 <p>3、数字证书应该由独立于用户和银行以外的权威的第三方安全认证机构CA发放,不能由银行自己发放。 <p>4、交易金额从USB Key上录入,以防止数据在传入USB Key之前被篡改。 <p> 如果采用了以上我所说的这些安全措施,那么USB Key的安全就可以说达到了“无懈可击”的地步了,实际的安全性可以得到本质上的提高。 <p> 当然我也知道,更加安全的USB Key必然会导致其成本的上升,不利于大规模的推广应用,目前智能卡的USB KEY成本已经超过50元,商业银行发布给最终客户的USB Key的价格则会更高,比如招商银行的USB Key需要88元的费用,而工商银行的USB Key需要76元的费用,增加这些新的安全措施带来的成本还是相当大的,在实际应用中需要低成本的替代方案才是现实可行的。 <p> 那么,对于现有USB Key,如何更安全的操作呢?我的建议如下: <p>1、和银行确认存在USB Key中的数字证书是唯一的,用户应该把USB Key随身携带。 <p>2、经常扫描一下电脑是否有木马病毒或者被远程控制。 <p>3、没事不要在电脑接入USB Key,只有在交易的时候接入。 <p>4、交易的时候接入USB Key,输入PIN码交易完成后,立即取走USB Key。 <p> 如果用户使用招行和工行的USB Key时候能够像我建议的这样操作,那么也可以在现有的硬件基础上,安全性会得到进一步提高。 <p> 总而言之,目前的USB Key的主要优点是具有CPU,类似加密锁或加密狗,能够进行RSA等加密算法运算,私钥无法读取,成本上有一定优势,因此在网络认证等领域得到广泛的应用,越来越多的人将会采用USB Key作为日常理财或进行其它网络交易的工具,而作为国内在此领域应用最早、最成熟且最具潜力的网上银行应用,在技术和应用方面都应该先人一步,及时找到 USB Key潜在安全漏洞的补救方法。</p>