简谈社工库及如何狡兔三窟

文章目录

简谈社工库及如何狡兔三窟

 

今年5月份乌云上爆出“小米论坛被脱裤”事件,约800万用户数据出现泄露。借这个事件,简谈一下“社工库”。什么是社工?社工是社会工程学的简称。社工库是指黑客将通过社会工程学方式将收集到的信息整理成的数据库,具体包括用户ID、姓名、密码、邮件等用户隐私数据。

爆库是社工库数据的主要来源之一。当一个大中型网站被攻陷时,黑客一般会将网站的数据库下载至本地,这个行为称为“爆库”。比较著名的事件包括:2011年12月CSDN、天涯爆库,后果是导致超过数千万用户的密码丢失。2013年8月有论坛公布约8G大小的2000万条开房记录,包括姓名、电话、身份证号。今年出现的Openssl心脏出血及小米论坛信息泄露等安全事件(警钟长鸣2014第5、第8期有相关介绍)也有可能成为黑客疯狂收割的机会。目前对外公布的社工库有多种形式,既有直接在网上公布数G的数据库文件,也有提供web页面进行查询。例如594sgk.com就是一个提供在线查询的社工库网站。

在各类网站数不胜数的今天,爆库事件及社工库给所有“懒用户们”带来很大的安全风险。假如我们注册的网站安全水平参差不齐,如何保证我们的安全?如何避免记忆大量账号和密码?

如何降低风险:

1、网站注册需要“狡兔三窟”: 重要账号和普通账号分开

根据等级划分为几类:公司及商务等级、个人隐私及涉及金额级和一般等级。不同级别的网站必须使用不同的用户名及密码。处于“懒”的考虑,一般级别可以使用同一个用户名或密码。即使个别网站出现“爆库”,影响范围也局限于该类。一般级别的网站的注册信息里尽量避免填写个人隐私信息。

2、密码复杂度

参考CNDN“爆库”时的密码统计,为了方便记忆很多人选择了简单密码。

公司及商务级和个人隐私级的网站和邮箱一定要设置复杂的密码,包括大小写字母、数字、特殊字符等,长度避免太短。

3、周期更新密码

公司及商务级和个人隐私级账号需要周期更新密码,例如一个月一次。

4、识别安全风险网站

网站数据库对用户密码的存储一般分为三种:明文、加密存储、仅存储hash值。当数据库泄露时第一种会直接暴露用户密码(CSDN事件),第二种假如黑客获取解密密钥也可以解密出用户密码。理论上第三种是不可逆的,即使数据库泄露,密码理论上也是安全的(假设hash算法安全足够高并且使用salt值)。

目前网站使用加密存储和hash值的都有,简单识别方式是:假如忘记密码时通过校验信息后可以“取回原密码”,说明在数据库后台是加密存储的。对于这类网站的密码需要单独设置,避免爆库后波及其他网站的安全。

 

评论已关闭。