前言

前天公司实验室公号推了一篇文章《登录加密算法破解秘籍》,抛出一把矛头将登录行为所面临的一类安全问题阐述的很清晰。这篇文章试着再祭出一块抵御该文所述攻击手段的盾。

一些科普

首先站在细分行业的角度,对文中提到的加密相关的概念进一步做一些解释。

  1. 很多应用在进行登录口令保护过程中所使用到的所谓“加密手段”其实并非真正的加密,如:URLencode、Base64、SHA、MD5、MD2这些均非加密方式,更不具备信息保护的功能;
  2. URLencode、Base64,是对数据进行编码操作,一般用于特定场景中便于数据传输,本身可以通过对编码输出结果进行逆操作直接还原出数据原文,因此对于通过此类方式进行所谓“加密”的口令直接进行解码操作即可还原原文,没有暴力破解的必要;
  3. SHA(SHA-1、SHA-256等)、MD5、MD2这类属于数据摘要算法,主要用于数据的完整性校验(同类算法还有国产SM3摘要算法),其算法在设计上是不可逆的运算,若应用通过此类方式对数据进行保护,很有可能后台也没有存储真正的用户口令,有时对此类保护手段实施攻击时,不一定非要知道用户的真正口令也可实现;
  4. HMAC属于数据摘要算法的一种升级,其特点在于计算摘要的过程中需要有用户密钥参与到运算中,从而使得持有不同密钥的用户,即便计算的输入相同也会得到不同结果,但是在对一个特定用户的登录口令进行分析时,效果与数据摘要算法这一类基本一致;
  5. DES是一种对称加密算法,更注重安全性的应用可能已经换为强度更高的AES或国产SM4等算法,算法强度提升带来的直接影响就是抵抗暴力破解的能力的提升;
  6. RSA是与DES算法处于同一时代的非对称加密算法,基本原理在引文中有所阐述,与DES算法类似,RSA算法的安全强度目前已经逐渐不再被行业普遍接受,目前国内应用较广泛的算法应该是SM2与ECC这类基于椭圆曲线算法的非对称密码算法。

武器库

攻击之矛

对引文中所描述的暴力分析手段再做分析,可以总结出其攻击的实施前提就是通过对JS代码的分析可以获取到完整的对口令进行加密的参数信息:

加密算法以及加密密钥。 现代密码技术对数据的安全保护的一个原则就是:公开加密算法,对密钥信息进行安全管理。也就是说密钥是数据安全的关键(KEY)。 引文所述分析过程所利用的突破点在于软件客户端弱抗分析能力的特点,分析者可以通过对执行代码的分析得到加密算法以及加密密钥。所以防御此类攻击的原点又回归到了密码应用的根本:密钥保护。

防御之盾

不同的安全需求级别对可抵抗攻击程度的要求是不同的,即对账号的保护力度取决于账号所具有的价值。这里且不深入讨论,单从技术角度列举几个可抵抗上文所述分析及破解的成熟方案。

UKEY

UKEY常用于早期的网银中,银行在发放UKEY的时候将用户的认证密钥写入专用硬件中,由用户持有,发生登录或交易行为时需要用户将UEKY连接到PC端,由网银控件调用硬件完成数字签名来实现身份认证。 实际上在利用UKEY的认证过程中,是使用用户专有的数字证书替代的口令的认证,在这里证书就是我们需要保护的“KEY”。由于证书存储于专用硬件中,同时通过硬件的读写控制使得外部无法读取该密钥,从而达到对该证书的保护。 顺便提一局,随着互联网对社会活动的影响,传统UKEY的便捷性越来越遭到各行业的诟病,所以现在很多安全厂商都相继推出了各自的“

手机盾”解决方案和产品。

动态口令

动态口令也是早期网银中使用过的一种认证手段,也是由银行离线发放,与UKEY的不同之处在于其内置的既不是用户的加密密钥也不是用户证书,而是被称作“种子”的一串保密信息。动态口令根据设置的更新周期通过时间戳与种子进行密码运算得到一个若干位的临时口令,来与后台按相同算法生成的口令进行对比验证,达到身份验证的效果。 在动态口令中,可以将“种子”信息看作需要保护的“KEY”,与UKEY类似的这个种子也是写到专用硬件中的,而更进一步的是,此硬件设备在使用过程中从来不需要与其他设备进行连接,所以更加不存在该硬件被暴力读取的风险。

短信验证码

短信验证码从形态上的感知与动态口令很相似,都是达到一种“一次一密”的效果,其后台实现很可能是基于计数的动态口令系统+短信网关的组合,也可能是随机数生成器+短信网关的组合。 这类方案的特点是认证口令的生成过程全部在后台完成,然后通过运营商的短信渠道发送到用户手机当中,因此针对客户端执行代码的分析效果微乎其微,而风险均转嫁到短信发送渠道的可靠性上了。

手机令牌类产品

网游玩家应该对此类产品并不陌生,战网安全令、网易安全令等产品均属于此类。这类安全令牌实际上也是属于动态口令的一种,只是将以前的专用硬件介质改为智能手机等移动设备。这种方案的可靠性理论上来讲比专用硬件的动态令牌要低一些。

参考链接

《登录加密算法破解秘籍》 动态口令解决方案 手机盾产品(云KEY系统)


版权声明:本文为博主原创文章,首发于“江南天安”微信公众号,转载请注明出处。

564 对 “防止登录加密算法暴力破解之盾”的想法;

  1. Pingback: grandpashabet
  2. Pingback: child porn
  3. Pingback: cratosroyalbet
  4. Pingback: child porn
  5. Pingback: grandpashabet
  6. Pingback: grandpashabet
  7. Pingback: cialis
  8. Pingback: cheapest depakote er
  9. Pingback: neurontin yellow pill
  10. Pingback: buy lasix mexico
  11. Pingback: canada rx
  12. Pingback: porn
  13. Pingback: porn
  14. Pingback: grandpashabet
  15. Pingback: meritking giriş
  16. Pingback: meritking
  17. Pingback: seroquel 300mg

发表评论