【安全手段】
PrivateKey(pwd)
USBkey
手机令牌(动态口令)
短信验证码
证书(OA)
安全协议(SSL、SET)
生物识别
黑客手段:
木马记录键盘——从加强场景安全
捕捉屏幕
网络抓包
反编译代码
破解数据库服务器
社会工程学“钓鱼”
【可能隐患】
“一次一密”动态口令:最大的困难不只在于大量密钥的生成和管理,成本考虑;
短信验证码漏洞:成本高、GSM短信监测成本日趋低廉、手机木马监听短信的隐患;
USBKey的漏洞:远程控制操作用户电脑;
手机令牌动态口令的漏洞:允许五分钟之内采用相同凭据重复登录;
生物识别的隐患:是一种可能被获取(信息采集如果通过固定签名加密的数据信息传递,甚至不需要3D打印一张脸)、并且不可废止的凭据。
【推荐策略】
设定一个密码禁用表,让用户避免使用常见口令
口令安全策略的理想境界,我们可以称为单向、一人一密、一站一密
【信息安全名人】
于旸、肖新光
后记:
安全威胁就像一个永远不能被抓获的流窜犯,只能被我们赶来赶去,我们对终极解决方案的追求,就像寻找永动机一样可笑,或许就像每个科学工作者心中都有玄学的阴霾。
缺少了解的东西才会让人感到恐惧,难以驾驭的东西才会去崇拜,自认为是捷径的东西才会偏执的去追求。我们对终极解决方案的追求,就像寻找永动机一样可笑。
关键词:
APT防御、0-Day检测、网站脱裤、绿色兵团
时间: 2024-10-08 13:23:09