論附加碼在網(wǎng)絡(luò)安全中的作用 |
發(fā)布時間: 2012/6/28 18:29:59 |
本文只想引起那些網(wǎng)站的設(shè)計者們的注意,同時也給一些對安全感興趣的初學(xué)者一些啟示作用 在計算機安全領(lǐng)域中,相信大家對窮舉密碼破解和字典密碼破解這兩個名詞一定耳聞詳熟了,對于一些黑客或準黑客來說,這是最常用的有效獲得別人密碼的方法。 在網(wǎng)絡(luò)飛速發(fā)展的今天,網(wǎng)速已不在成為網(wǎng)絡(luò)訪問的瓶頸,在為人們上網(wǎng)提供更快的訪問速度的同時也給黑客們提供了更廣闊的發(fā)展空間,在線破解越來越大地威脅著網(wǎng)絡(luò)安全。本文就談?wù)勗诰W(wǎng)絡(luò)上,使用附加碼的方法阻擋來自HTML頁面提交的窮舉的方法中的矛與盾。 如果你對網(wǎng)絡(luò)有一些了解,在你上網(wǎng)的時候你應(yīng)當(dāng)被一些頁面要求填寫附加碼的表單才能正常進入你的帳號。更進一步,如果你對安全有一些了解,你一定知道有專門的破解工具可以在線破解別人BBS帳號或在線郵件賬號密碼的工具,如大名鼎鼎的小榕之朔雪。那么附加碼與朔雪類工具軟件有什么聯(lián)系呢?可以簡單地說,附加碼可以有效防止朔雪對你的攻擊。 為什么附加碼又有如此威力呢?我們先簡單分析窮舉的原理。窮舉法攻擊最重要的一個條件是:密碼在攻擊期間內(nèi)不能變化。它總能在所有字母組合中通過不斷地“試”直到成功的方法找到真正的密碼。所以窮舉法也可以叫排除法,和警察排除犯罪謙疑人差不多。那么,能不能在身份驗證的時候加入動態(tài)的驗證內(nèi)容,使每一次身份驗證時都輸入不同的驗證碼來防止類似攻擊呢?能!那就是附加碼!附加碼在WEB服務(wù)器上隨機產(chǎn)生并記下來,再生成文字傳給用戶,用戶照著手動輸入提交,服務(wù)器對提交的附加碼與記下來的附加碼對比一下正不正確就完成了驗證。因為每一次產(chǎn)生有附加碼是隨機的,所以朔雪就無能為力了。 但這也不是說有了附加碼就高枕無憂了。那還得看你對附加碼的認識和重視程度如何。 想一想,既然WEB服務(wù)器都把附加碼傳給了瀏覽器,哪為什么朔雪就不能把它讀出來自動填上呢?理論上完全可以,只是朔雪沒有那樣做罷了。 哪不是附加碼就沒用了嗎?也不是,下面我們再來看看什么樣的附加碼是最安全的。 一、 如果返回的附加碼以文本形式返回。這是不管用的一種附加碼。攻擊者簡單提取文本附加碼自動填上就可以了。這種附加碼對安全一點幫助都沒有,反而加大了用戶的輸入負擔(dān)。[順便提一句:我看到有些網(wǎng)站的附加碼輸入框是密碼類型的輸入框,輸入顯示*號,想一想,附加碼都顯示出來了,還用密碼類型的輸入框有何用?這是對用戶的一種愚弄!]
本文出自:億恩科技【www.allwellnessguide.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |