Chinaunix

标题: 一个关于软键盘输入密码的建议 [打印本页]

---

作者: Momoass    时间: 2007-04-06 18:34
标题: 一个关于软键盘输入密码的建议
貌似现在的软键盘输入密码只是用鼠标代替手输入而已，如果客户端中了木马一样可以Hook到输入的密码
有没有人想过在服务端生成一个随机码阵列关联相应的密码字符呢，这样就算他Hook到了密码也一样的白搭，因为每次登录的替代码都不一样。
比如每次客户打开登录页面服务器上面就为此Session产生一个随机码影射表：

1. 
   
2. {
   
3.   1="2f4d",
   
4.   2="58ev",
   
5.   ...
   
6.   z="6kix"
   
7. }
   

复制代码

用户用软键盘输入的时候就把相应的随机码输入密码域，提交到服务器上面再用那个影射表进行解码

如果直接用键盘输入的就不用管了，加个多参数表明密码没有被转码，直接使用即可，因为用键盘输入任你怎么搞都有可能会被监听到的

[ 本帖最后由 Momoass 于 2007-4-6 19:03 编辑 ]

---

作者: gxguax    时间: 2007-06-21 21:01
嗯, 这种做法不错...
支持!

---

作者: piao2004    时间: 2007-08-01 13:12
关注

---

作者: boatman    时间: 2007-09-03 10:04
支行:wink:

---

作者: yhb7805    时间: 2007-09-03 10:13
中间截获一次，就可以继续盗取了。

---

作者: abuse    时间: 2007-11-10 16:46
不错的建议

---

作者: fish007    时间: 2007-12-12 10:18

原帖由 Momoass 于 2007-4-6 18:34 发表
貌似现在的软键盘输入密码只是用鼠标代替手输入而已，如果客户端中了木马一样可以Hook到输入的密码
有没有人想过在服务端生成一个随机码阵列关联相应的密码字符呢，这样就算他Hook到了密码也一样的白搭，因为每 ...

用RSA或安盟双因素动态身份识别令版也行呀

---

作者: ~wind~    时间: 2007-12-12 11:09
没有绝对的安全,增加了盗取密码的难度

---

作者: oackk    时间: 2007-12-17 10:00
中间人攻击（Man-in-the-Middle Attack，简称“MITM攻击”）是一种“间接”的入侵攻击， 这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息，然而两个原始计算机用户却认为他们是在互相通信，因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段，并且一直到今天还具有极大的扩展空间。

    在网络安全方面 ，MITM攻击的使用是很广泛的，曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段。如今，在黑客技术越来越多的运用于以获取经济利益为目标的情况下时，MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式。

    中间人攻击示意图； [attach]226421[/attach]



1、信息篡改

当主机A、和机B通信时，都由主机C来为其“转发”，如图一，而A、B之间并没有真正意思上的直接通信，他们之间的信息传递同C作为中介来完成，但是A、B却不会意识到，而以为它们之间是在直接通信。这样攻击主机在中间成为了一个转发器，C可以不仅窃听A、B的通信还可以对信息进行篡改再传给对方，C便可以将恶意信息传递给A、B以达到自己的目的。




2、信息窃取

当A、B通信时，C不主动去为其“转发”，只是把他们的传输的数据备份，以获取用户网络的活动，包括账户、密码等敏感信息，这是被动攻击也是非常难被发现的。




实施中间人攻击时，攻击者常考虑的方式是ARP欺骗或DNS欺骗等，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。以常见的DNS欺骗为例，目标将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了一个伪造的网站如某银行网站，从而骗取用户输入他们想得到的信息，如银行账号及密码等，这可以看作一种网络钓鱼攻击的一种方式。对于个人用户来说，要防范DNS劫持应该注意不点击不明的连接、不去来历不明的网站、不要在小网站进行网上交易，最重要的一点是记清你想去网站的域名，当然，你还可以把你常去的一些涉及到机密信息提交的网站的IP地址记下来，需要时直接输入IP地址登录。
   
　　要防范MITM攻击，我们可以将一些机密信息进行加密后再传输，这样即使被“中间人”截取也难以破解，另外，有一些认证方式可以检测到MITM攻击。比如设备或IP异常检测：如果用户以前从未使用某个设备或IP访问系统，则系统会采取措施。还有设备或IP频率检测：如果单一的设备或IP同时访问大量的用户帐号，系统也会采取措施。更有效防范MITM攻击的方法是进行带外认证，具体过程是：系统进行实时的自动电话回叫，将二次PIN码发送至SMS（短信网关），短信网关再转发给用户，用户收到后，再将二次PIN码发送到短信网关，以确认是否是真的用户。带外认证提供了多种不同的认证方式及认证渠道，它的好处是：所有的认证过程都不会被MITM攻击者接触到。例如MITM是通过中间的假网站来截获敏感信息的，相关的“带外认证”就是指通过电话认证或短信认证等方式确认用户的真实性，而MITM攻击者却不能得到任何信息。当然，这种方式麻烦些。

[ 本帖最后由 oackk 于 2007-12-17 10:03 编辑 ]

---

作者: xman0017    时间: 2007-12-17 20:09
IE等浏览器嵌入代码，什么都可以取得，在修改什么的还不是轻松的事

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2