很遗憾的是,海内太多,太多,太多知名网站,都没有对用户暗码做到足够防护,以至于太多网站一旦爆库就会泄露绝大部门用户暗码,好比最近据说的人人网和开心网,固然不能完全证实,可是从据说来看,显然也是被破的七七八八了。记着一点,爆库不便是暗码泄露,爆库+不正确的加密方法才是暗码泄露!
别的,固然中国山东大学出了一个王小云传授震惊了世界,可是逆向md5今朝仍然是不现实的工作,别说这玩意很简朴,没有黑客会如此滥用计较力,除非是当局机构,针对特定方针,你的账号,凡是环境下,不值得这样做,除非你是屏蔽词。
在爆库泛滥和暗码破解率很高的环境下,社工库扫描就很风行了,简朴说,你在若干网站用了同样的账号和暗码,个中一个 被爆库,暗码被泄露,你的账号和暗码就进入了社工库,这个库此刻很复杂,有数亿笔记录,是的,caoz的记录也在内里,要不是圈里的伴侣提醒,我都不知道本身也中招了。因为一个著名站长社区被爆库,导致我在百度passport的暗码外泄。这就是社工库的威力地址!有履历的黑客会操作社工库扫描著名网站,输入社工库的账号和暗码,看能不能匹配乐成,这个乐成率就比弱暗码扫描跨越不止一个数量级,这也是弱暗码扫描不再风行的原因! 微博最近频繁呈现盗号事件,据查也是社工库扫描导致的。我们网站和许多伴侣网站也碰着了社工库扫描。有伴侣如徐宥箴认为黑客这样做见效太小,没有意义,他搞错了一点,黑客并不是逐一手工实验的,而是用很是海量的数据批量扫描的,这样本钱长短常低的,局限化的操纵,甚至许多中招的人只是黑客“搂草打兔子”的附带品,完全是没有本钱的战利品。黑客只要抓住一个大号就赚了,许多无辜的被过路盗掉了罢了。防备社工库扫描,今朝除了验证码,并无太能手段,可是验证码又是一个“伤害用户体验"的行为,所以最近新浪BT验证码频繁被骂,也着实无奈。(不BT的验证码是很容易破解的,网上有开源措施,caoz试过,很好使的!)
以上这些,是针对当前微博盗号事件的一个扼要总结,假如您看不懂,可以转给您地址公司的技能认真人,假如您地址公司的技能认真人也不懂,而刚好您的公司维护一个很是重要的宣布在互联网上的用户库,请你们大boss迅速换掉这个技能认真人,就这样。
更多技能话题不展开,caoz也是业余的,这玩意也就是科普。想探讨更多的,发起在新浪微博上请教 @benjurry, @tombkeeper。