回复 2# action08
再想像下2054年,你的行踪随时被掌握,不管你去哪里,地铁还是楼宇。
这真是太可怕了,这相当于把地球变成了一个巨型的监狱
太复杂的记不住,太简单的不安全
N个账号N个密码记不住,一个账户走天下不安全
...
密码充斥着各种“记不住”与“不安全”的矛盾
i2235932666 发表于 2014-12-13 14:11 static/image/common/back.gif
回复 2# action08
老了,岁数大了,不关心那么遥远的事情
panyunlai 发表于 2014-12-13 00:06 static/image/common/back.gif
没有绝对安全的密码,以前的时候是将密码按照安全等级分类,网银有一套专门的密码,支付宝有一套密码,重要 ...
说到保存密码,以前貌似推荐运维人员装这个工具
http://keepass.info/
我只希望用本地版本,联网也仅是更新patch
这就是未来取代密码的先进安全技术:luya:
http://tech.163.com/14/1214/07/ADDJIDPD00094ODV.html
1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
密码目前来看,安全度不高! 在实际应用中的确是复杂的密码要更安全一些。 密码泄露,丢失是比较常见的隐患问题。
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
其实各有利弊吧,安全点就一把钥匙开一扇门,弊端就是不好记。 也有一些懒人会用万能钥匙啦。这类的建议定期更换密码。
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
其实从安全角度来看,声纹,指纹,掌纹,比较靠谱。 从电影中我们也可以看到,安全局的门禁系统,计算机安全审计,都可以应用这些。
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
这块所知就较少了。
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
复杂程度吧,最好满足三种! 一定不用简单,规律性的数来做密码。
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
安全比较泛! 我还是看看大家说的,学习学习啦。
1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
个人觉得不安全。。不是越复杂越安全,现在密码破解手法形式多样,然而当中最重要的反而不是靠邪门歪道,而是靠蛮力强行攻击。不过密码长度越长相对安全更好,因为要破解时间需要更长。
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
“一把钥匙开一扇门”的策略这个是对于我们来说是简单了很多,不必去记太多的密码。改用“万能钥匙”的策略,这个对于密码安全性是好了,但是很难去记,我觉得我还是会选择“一把钥匙开一扇门”的策略。
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
指纹已被滥用,比如上班指纹刷卡、门禁指纹登录等等。这种被破解成本会非常低,因为取得指纹相对是比较容易的,现在成本主要是制作指纹;
人脸:手机现在也可以人脸解锁了。
技术的发展确实有好处,但是还是会有一些不利的因素的。。
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
第一种,网站漏洞导致拖库,第二种,用拖库得来的用户密码尝试登陆其他的网站。云相册、移动支付的时候担心信息泄漏,还有被盗刷。。
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
“用统一规则记住多个不同密码”是个不错的选择。毕竟记住一个规则比记住一串杂乱无序的字符要容易多了,也可以实现“一把钥匙开一扇门”的策略。在这里不妨举个例子,给出一个简单的密码设置规则(以电子信箱为例):[密码]=2*([用户名标识符(小写/大写)]+[用户名长度]+[.]+[网站标识符(大写/小写)])
例:guokr123@gmail.com,密码为:gk8.GM GK8.gmsongshuhui@hotmail.com 密码为:ssh10.HTSSH10.ht
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
一般都是通过普通员工的电脑进入的。。
安装杀毒软件,反入侵软件等等。
本帖最后由 securitypluscn 于 2014-12-29 14:26 编辑
1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
密码的强度决定于密码的复杂程度和长度。我的密码强度是足够了。
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
为了回答这个问题,先做个风险评估。
我们用下面的公式大略估算一下损失预期
ALE = SLE 乘 ARO
ALE: 年损失预期 (ANNUAL Rate of Occurence)
ARO = 年损失发生次数
SLE:单一损失预期(Single Loss Expectancy); SLE = AV 乘 EF
EF:损失暴露参数(Exposure Factor)
AV:财产价值 (Asset Value)
我们假设:
1) 我们有十个网站要密码登陆,每一个网站中我们的数据价值100块, 所以资产(AV)为 100 X 10 =1000
2) 一但密码被破解,损失暴露参数(EF)为100%
3)密码被破解发生次数(ARO)为一年一次
将以上数据导入公式:
“一把钥匙开一扇门”:
ALE = 1000 x (100%/10)X 1 = 100
“万能钥匙”
ALE = 1000 X 100% x 1 = 1000
从上面的计算可以得出以下结论: 单从风险角度上来看“一把钥匙开一扇门”要比“万能钥匙”好的多,这是因为 “万能钥匙”存在着单点脆弱性。这种脆弱性一旦被利用可能会对财产造成极大损失。同时,作为网站用户,我们可采用的风险控制手段非常有限。因此,最大的损失预期加上最少的风险控制手段导致“万能钥匙”风险极高。
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
传统密码形式不会被完全取代,即使在未来!理论上用户可以通过几种方式进行认证:
1)你知道的,例如:密码
2)你所拥有的,例如:证件
3)你的物理特征 例如:指纹
密码虽然被认为不是最好的认证方式,但它却是最容易/简单的认证方式。同时,物理特征也不是最可靠的认证方式。在安全上有这么一种说法,系统和程序越复杂越不安全。通过物理特征来进行验证恰恰就是一个复杂的过程。人体本身就是一部复杂的系统,我们的物理特征是复杂的且不是永远不变的。同时物理特征信息的采集,处理,和维护过程要比密码复杂的多。这就是为什么物理特征认证设备会有三个参数供客户参考以决定它的可靠性。那什么是最安全的访问控制方式呢?理论上我们只要同时应用任意两种或以上的认证方式就会被认为最安全的。
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
我发一个链接,是关于云安全漏洞的统计资料。有兴趣的可以看看:
http://www.cert.uy/wps/wcm/connect/975494804fdf89eaabbdab1805790cc9/Cloud_Computing_Vulnerability_Incidents.pdf?MOD=AJPERES
云计算永远是个谜!当你的数据(资产)被上载到INTERNET后你对它们的风险控制能力是有限的。就如当你把你的钱放到别人的口袋里的时候,在某种意义上他们已经不是你的了。云计算有他的特殊风险,例如,你会和其他用户分享计算资源,如果其中一个用户被黑了,这可能会影响到每一个用户。还有一个风险就是你不知道你的数据被存放在哪。假设我是一家美国健康医疗服务公司,客户数据的安全属于美国HIPPA法的管辖。云计算把我的客户数据存在中国的服务器上,被黑了且造成了损失,我是在美国打官司呢还是在中国打?
一部分云计算风险的管控可以通过强化与服务商的服务协议(SLA)来实现。例如,你可以要求你有审计、渗透测试、漏洞检测的权力。
至于移动支付的安全措施,我首先想到的是加密,DATA IN TRANSIT & DATA AT REST!其次是GPS定位和远程擦写(REMOTE WIPE)。但我觉得最安全的方式是不用!原因简单,我对它们的安全机制不了解。
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
没有规矩不成方圆。 要从管理上入手,首先制定密码安全策略,规定最小密码长度和复杂性。同时在技术层面保证密码安全策略的执行。
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
APT是军事用语,现在用于信息安全上可以说一点也不为过。兵不厌诈, APT运用的最常用也是最成功的手段就是社会工程学。在技术上主要通过在被入侵的系统内注入恶意程序如病毒、木马以达到对系统网路的控制和数据安全属性的破|坏,有点木马屠城的意思,不是吗?“不动如山”,这是孙子兵法对于防御的基本要求。如何做到对APT不动如山?深层防御(DEFENSE IN DEPTH)!首先要从管理层面着手。铁打的营盘流水的兵,安全制度的建立和落地是关键。在技术层面,HIDS 和 NIDS可有效检测APT攻击。
1.你的密码安全吗?是不是越复杂的密码才会越安全?有哪些潜在的隐患?
密码越复杂越安全,可以先自行用base64加密计算后使用
2.大多数人都握有十多个网站的账号,是继续选择“一把钥匙开一扇门”的策略,还是改用“万能钥匙”的策略呢?哪个好?
一把要是开一扇门比较好,密码可以分成2部分,一部分是万能的部分,另一部分按照不同的网站来取,将2者合并成一个密码来使用。
3.未来,像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术有可能取代传统的密码形式,想象下这些方式有哪些应用场景?
觉得都能被复制
4.在云安全、移动安全方面有哪些泄密事件?在使用云相册、移动支付的时候有哪些担忧?如何预防?
个人方面只能依靠自己的密码,余下的交给服务商
5.有人对用户的密码做过统计,61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用,那如何设定一个靠谱的密码呢?
echo password | base64
6.电影上的黑客无所不能,火车、飞机、电厂一一搞定,但现实中的黑客也丝毫不差。 高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口,如果一个企业或某人被具备高端社会工程技术的黑客盯上,几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业?如何有效侦测APT攻击?
防范APT攻击是个漫长的过程,需要及时打补丁,提高代码质量,去掉运维不良习惯
网友的观点很不错!回复 1# pipihappy8888