如何抵御社工库类数据扫描黑客攻击

7 天前文章归档 16

如何抵御社工库类黑客攻击

说到社工库，现在很流行，数据也越来越庞大、详细，其威胁程度日愈严重其中威胁最高的就属密码库了，也是数量最大，影响范围最广的密码库主要来源黑客对网站的攻击，导致网站数据流出。

其中密码形式主要分这几种：第一种是未加密的明文密码，威胁程度最高，另一种是加密过的密码密文，威胁程度视加密等级而定，第三种是破译成本很低的密码密文，例如仅一次 MD5，等低强度加密算法，威胁程度最高，其中无法破译的密文，情况还好点，暂时没什么大的影响而明文和破译成本很低的就不一样了，用途就不说了吧，大家都懂如何防御此类攻击，针对已泄露的明文密码来讲。

目前防御手段大致有两种：

1、使用一套自己的“抽象密码记忆方案”，相当于一个自己的“密码算法”，一段只有自己知道是啥意思的字符串，例如：nuyo0w，字符串 WooYun 的变体，从一定程度上来讲，使攻击者不知所措，但对于高级黑客来讲，还是有可能被猜出来密码规律，最重要的一点，它还是明文!(更好一点的，将重要密码和一般密码算法分开记忆) 缺点：增加记忆成本，如果多个密码的话，最后会很混乱，而且无法防止高级黑客猜测

2、非记忆密码方案，即使用密码生成器、密匙管理器之类的密码处理工具，需要提供一个原始密码及盐，生成一个毫无规律的高强度“明文”密码，即使某网站泄露了这个“明文” 密码，除了这个网站之外，黑客无法进行其他任何用途，更猜不出密码规律，使社工库完全失去存在的意义优点：程序算法被破解也没用，因为需要提供原始密匙或者盐(保护好你的原始密匙不在任何地方出现)，否则无法生成密文，强度极高!!! 缺点：易用性比较差，因为随时都需要带一个加密程序(做成网页在线版可能好点)，没带的话，没法登陆账户。

作者：IT同路人
（文章转载请注明来自：IT同路人论坛）

社会工程学