- 综合排序
- 最热优先
- 最新优先
- 来自专栏ThoughtWorks
密码安全与会话安全
我认为作为一名软件开发工程师, 严禁明文存储密码是common sense。那该如何解决不能明文存储密码的问题?也许看官你会说,md5 ?没错,md5 可以。那么md5属于什么? 比如: md5(123456) = e10adc3949ba59abbe56e057f20f883e 这样虽然能解决密码不明文化,但是它还是会存在安全问题。 一次算法远远不够满足安全要求,如md5(md5(md5(password+salt))),现在往往采用自适应的方式来存储密码,可以设置重复计算一万次,盐使用随机生成的16+位字符串。 (很多可以通过MD5/SHA值进行反向查询,都是已经存储了大量的彩虹表) 密码传输安全 解决了密码存储安全,再来看密码传输安全。有人会说使用https就能解决网络传输的安全问题,但这还是不够。 如登录连续错了5次锁5分钟,再错5次锁半小时,防止黑客试出密码。但这种方式也有问题。
1.7K10发布于 2021-09-15 - 来自专栏快乐阿超
安全密码正则
今天分享一个密码的正则,密码必须包含大、小写字母、数字、特殊符号至少三种,且长度为8-20 ^(?![a-zA-Z]+$)(?![A-Z0-9]+$)(?![A-Z\W_! @#$%^&*`~()-+=]{8,20}$/.test(value))) { return '密码必须包含大、小写字母、数字、特殊符号至少三种,且长度为8-20';
88320编辑于 2022-08-16 - 来自专栏PostgreSQL研究与原理解析
PG密码安全
PostgreSQL错误日志文件中的密码 大家都不希望在错误日志文件中出现用户密码。PG使用SQL查询管理用户账户,包括密码。 一种解决方法:发起查询前手动对密码进行加密,但仍会被error机制探测到。 PASSWORD 'md567429efea5606f58dff8f67e3e2ad490' 在psql客户端执行: show password_encryption可以查看使用哪种加密方式,是md5还是 psql将密码hash加密后再发起alter命令。并不是说在日志文件中不会再出现密码了。 另外一个安全方式:使用syslog将Log发送到安全的服务器上。
1K00发布于 2020-08-01 - 来自专栏代码小技巧分享分析
按照措施将密码安全等级划分为5层
按照措施将密码安全等级划分为5层: Level0:明文也就是不加密 username password tom 123456 Level1:摘要式身份验证 验证流程: 提交用户名密码 计算密码哈希值 比对存储的哈希值和计算出的哈希值是否相等 缺点: 如果攻击者知道了salt和你的哈希值,就可以计算出你的原始密码(当然也没有那么容易) 增强版本: 两次MD5,使用一个随机字符串salt与密码的md5值再进行一次md5,使用很广泛 由于现在的彩虹表大部分是针对一次 md5的,当然可能存在多次md5的彩虹表,那么我们可以多次md5,大大增加他的存储成本和少量的计算成本 Level3: 增加计算的时间 (哈希 + salt + Iteration) 通过迭代计算的方式增加计算密码的成本 BCript→bc6567567a45e73... username password tom $2a$10$rocuFOLJQLDDM12XMDJ32 注: 一般的应用做到LEVEL3就可以了,如果需要更加安全的方式请看下文 ) 密钥存储在在不同的数据源 (通过将密钥存储在不同的数据源的方法,进一步增加了破解难度,因为需要同时获得用户密码表数据,同时要获得其他数据源存储的密钥) Level5: 在Level4的基础上,将密码分成若干个块
1.3K20发布于 2021-10-08 - 来自专栏安智客
《密码模块安全要求》与《密码模块安全检测要求》
信安标委最近对大量的信息安全行业规范进行征集意见,3月份的时候安智客介绍过行业标准密码模块安全安全要求,不过这个标准现在上升到了国家标准,说明很重要!安智客今天来学习密码模块安全要求。 一,标准间的关系 国家标准《信息安全技术 密码模块安全要求》,来源于密码行业标准《GM/T 0028-2014 密码模块安全技术要求》。 国家标准《信息安全技术 密码模块安全检测要求》,来源于密码行业标准《GM/T 0039-2015 密码模块安全检测要求》。 以上两项标准适用于除密码芯片和系统软件外的各种密码产品类型。 比如说安全芯片有《GM/T 0008-2012 安全芯片密码检测准则》。 二,标准的内容概要 密码模块安全要求:针对密码模块的11个安全域,分别给出了四个安全等级的对应要求。 11个安全域分别是:通用要求,密码模块规格,密码模块接口,角色、服务和鉴别,软件/固件安全,运行环境,物理安全,非入侵式安全,敏感安全参数管理,自测试,生命周期保障,以及对其他攻击的缓解。
3.5K30发布于 2018-07-30 - 来自专栏MySQL解决方案工程师
MySQL管理——密码安全
在MySQL的日常管理中,密码安全直接关系到数据库的使用,DBA应该在密码管理上特别重视。 蛮力破解算法:通过使用不同的哈希算法将字符进行组合,以匹配密码使用的算法 字典攻击:使用字典中的字符执行哈希操作,当用户使用安全性不高的密码时,该方法能够快速推导出密码 彩虹表:由重复哈希和简化密码的长链中的第一个和最后一个哈希组成 ,当攻击者通过相同的算法链运行目标密码哈希,并找到与之匹配的算法链时,攻击者可以通过重播该链来推导密码 MySQL的密码验证组件 MySQL提供了密码验证组件,用以提高密码的安全性。 组件安装成功后,该组件提供几个变量,通过对变量进行设置,以达到不同级别的密码安全要求。 ,还可以考虑从以下两方面增加密码的安全性: 为root用户设置强密码 为全部用户的密码指定使用期限,通过”default_password_lifetime“进行配置
91610编辑于 2023-09-12 - 来自专栏PostgreSQL研究与原理解析
PG的密码安全
PostgreSQL错误日志文件中的密码 大家都不希望在错误日志文件中出现用户密码。PG使用SQL查询管理用户账户,包括密码。 一种解决方法:发起查询前手动对密码进行加密,但仍会被error机制探测到。 postgresPASSWORD 'md567429efea5606f58dff8f67e3e2ad490' 在psql客户端执行:show password_encryption可以查看使用哪种加密方式,是md5还是 psql将密码hash加密后再发起alter命令。并不是说在日志文件中不会再出现密码了。 另外一个安全方式:使用syslog将Log发送到安全的服务器上。 原文: https://momjian.us/main/blogs/pgblog/2020.html#July_22_2020
77520发布于 2020-10-28 - 来自专栏安智客
安全芯片密码检测、密码模块安全检测、与等保2.0
前面我们知道GM/T 0008-2012《安全芯片密码检测准则》将安全芯片密码等级分为3个等级! 而在GM/T 0028-2015《密码模块安全技术要求》和GM/T 0039-2015《密码模块安全检测要求》,将密码模块安全等级分为4个等级! 这两个检测规范之间有什么关系? 1,无论选用何种密码产品,其密码模块安全级别应与信息系统的安全等级相匹配。 2,无论选用哪个等级的密码产品,其功能、性能等特性应符合相应的密码行业标准或国家标准的要求。 密码芯片和密码系统不适用密码模块安全等级。 如果信息系统直接使用密码芯片,密码芯片的安全等级应与信息系统的安全等级相匹配;如果信息系统使用密码系统,密码系统除了符合适用的密码标准之外,还应符合相关的密码规章(例如电子认证系统除了符合GM/T 0034
3.4K50发布于 2018-03-30 - 来自专栏人工智能机器学习
信息安全意识-密码安全
密码安全,顾名思义,它指的是对于我们密码的安全。 它特征就是提前生成散列,那么当发现散列值的时候,用散列值比对出明文密码,这也是一种密码攻击的手段。 5.社会工程学攻击手段 社会工程学攻击手段本身是不依赖于任何的技术手段。 1.设置弱密码,例如123456这样的简单密码; 2.轻易相信别人,不验证别人身份就透露密码和密保问题; 3.密码一旦设置不再修改,包括使用共享密码; 4.密码主动外泄; 5.肩窥等等...... 另外一方面,密码找回的问题也不能过于简单,而且还要不断去验证它的一个身份等等,这都是密码设计的一个安全行为的规范。 以上内容参考安全牛课堂 密码安全,涉及强密码策略,演示内网密码攻击示例,账户密码加固策略,以及简单的加密基本原理,对称加密非对称加密,公钥基础设施架构;风险危害透析、常见风险行为分析、安全行为规范建议、
1K20发布于 2019-08-16 - 来自专栏程序人生 阅读快乐
密码学与网络安全——原理和实践 (第5版)
《密码学与网络安全》延续了Forouzan先生一贯的风格,以通俗易懂的方式全面阐述了密码学与计算机网络安全问题所涉及的各方面内容,从全局角度介绍了计算机网络安全的概念、体系结构和模式。 《密码学与网络安全》以因特网为框架,以形象直观的描述手法,详细地介绍了密码学、数据通信和网络领域的基础知识、基本概念、基本原理和实践方法,堪称密码学与网络安全方面的经典著作。 注:此为英文版
1.4K20发布于 2018-10-10 - 来自专栏数通
KALI LINUX密码安全工具
在破解过程中,John the Ripper会使用字典文件中的单词和规则来生成密码,然后与给定的哈希值进行匹配。如果找到匹配的密码,就会输出密码明文。 5. 密码哈希算法:不同的密码哈希算法具有不同的安全性和破解难度。一些常见的哈希算法,例如MD5和SHA-1,已经被证明存在严重的安全漏洞,可以很容易地被破解。 5. 破解密码:使用Aircrack-ng工具对捕获的握手包进行破解,尝试不同的密码组合,直到找到正确的密码。 在以上步骤中,最关键的是破解密码的过程。 5. 破解密码:使用Aircrack-ng工具对捕获的握手包进行破解,尝试不同的密码组合,直到找到正确的密码。 受限于Wi-Fi网络的安全设置:Aircrack-ng只能破解采用WEP、WPA和WPA2等弱安全协议的Wi-Fi网络,而对于采用更强的安全协议的网络,则无法进行破解。 3.
1.4K10编辑于 2024-12-03 - 来自专栏北京马哥教育
如何安全的存储密码
常用的单向哈希算法包括SHA-256,SHA-1,MD5等。 以后要是有某家厂商宣布“我们的密码都是哈希后存储的,绝对安全”,大家对这个行为要特别警惕并表示不屑。有兴趣的朋友可以搜索下,看看哪家厂商躺着中枪了。 进阶方案: ? 10多年以前,因为计算和内存大小的限制,这个方案还是足够安全的,因为攻击者没有足够的资源建立这么多的rainbow table。 但是,在今日,因为显卡的恐怖的并行计算能力,这种攻击已经完全可行。 bcrypt经过了很多安全专家的仔细分析,使用在以安全著称的OpenBSD中,一般认为它比PBKDF2更能承受随着计算能力加强而带来的风险。 但是,scrypt在算法层面只要没有破绽,它的安全性应该高于PBKDF2和bcrypt。
3.6K60发布于 2018-05-02 - 来自专栏小工匠聊架构
加密与安全_ 凯撒密码
加密:H + 3 = K,E + 3 = H,L + 3 = O,L + 3 = O,O + 3 = R 密文为:“KHOOR” 安全性: 恺撒密码的安全性非常低,因为它只有26种可能的密钥(偏移量), 因此,它更多地被用于教学和娱乐,而不是实际的安全通信中。 应用: 恺撒密码虽然安全性低,但在教学、编程练习以及简单的加密需求中仍有一定的应用价值。 解密密文:“WKLQJ LV NHHS” -> “THINK IS MEET” 安全性: 凯撒密码的安全性很低,因为它只有26种可能的密钥(偏移量),而且容易受到字母频率分析等简单攻击的破解。 ,但由于它的简单性,它并不安全,容易受到字母频率分析等攻击。 因此,现代加密通常不再使用凯撒密码,而是使用更加复杂的加密算法来保护数据的安全。
1.5K00编辑于 2024-05-26 - 来自专栏CSDN迁移
信息安全课程——窃取密码
信息安全课程——窃取密码 一、 一、 安装ubantu16-64 Desktop版本 通过XShell连接虚拟机。 /*将recvbuff初始化为全0*/ memset(recvbuff, 0x00, 256); /* 为ip头部填充数据 */ iphead->ip_hl = 5; /* 为icmp头部填充数据 */ icmphead->icmp_type = ICMP_ECHO; //类型为icmp回复报文 icmphead->icmp_code = 0x5B; */ #define MAGIC_CODE 0x5B #define REPLY_SIZE 36 /*"GPL" 是指明了 这是GNU General Public License的任意版本* 在这里,我们 *应使用ICMP_ECHO数据包,其代码字段设置为0x5B * * AND *数据包已足够 *标题后的空格,以适应4字节的IP地址和 *用户名和密码字段是最大值。
84320编辑于 2022-10-25 - 来自专栏用户4352451的专栏
如何让密码更安全?
背景 密码登录是每个系统必不可少的, 但是我们应该如何去保证密码的安全性? 有哪些会泄露密码的途径呢? 客户端 暴力破解 : 通过计算机猜测,一直尝试密码。 网络传输 传输截取 :通过在网络传输过程中通过抓包等方式获取到密码 服务端 脱库 : 通过破解攻击数据库来获取账号密码 那么我们如何防止密码泄露呢? ? 在客户端登录的时候进行多次错误登陆校验,如验证码,或者多次尝试就锁密码。 通过客户端向服务端发送的时候,发送加密后的密码,防止中途盗取 在存储密码的时候进行加盐和账号的关联,防止替换加密后的密码,进行破解。 ?
88320发布于 2020-08-26 - 来自专栏2024年网络安全宣传周
网络安全宣传周 - 密码安全
因此,加强密码安全管理,提高密码的安全性,成为网络安全领域的重要任务。二、密码安全的重要性(一)保护个人隐私在网络环境中,个人的各种信息,如银行账户、社交账号、电子邮件等,都需要通过密码进行保护。 密码技术是国家信息安全的重要支撑,加强密码安全管理,对于维护国家安全至关重要。三、密码安全面临的挑战(一)密码破解技术不断升级随着计算机技术的飞速发展,密码破解技术也在不断进步。 (五)企业密码安全管理企业应建立完善的密码安全管理制度,加强对员工的密码安全教育和培训,规范员工的密码使用行为。同时,企业还应采用先进的密码技术,如加密算法、密钥管理等,提高企业密码系统的安全性。 (四)密码安全标准的不断完善随着密码安全问题的日益突出,各国政府和国际组织将不断完善密码安全标准,加强对密码技术的监管和管理。密码安全标准的不断完善将有助于提高密码的安全性,促进密码技术的健康发展。 六、结论密码安全是网络安全的重要组成部分,对于保护个人隐私、企业安全和国家安全具有重要意义。当前,密码安全面临着诸多挑战,如密码破解技术不断升级、用户密码管理不善、网络环境的复杂性等。
82110编辑于 2024-09-05 - 来自专栏腾讯云安全的专栏
弱密码、空密码、明文密码威胁企业安全,腾讯NTA出手解决
但在密码安全管理实践中,诸如企业安全管理规章流于形式,执行情况难以掌握;运维人员缺少系统性工具对密码相关流量进行监控与风险检测;业务存在未授权访问风险,没有更可靠的工具进行全面评估等多个难题,亟待解决。 针对黑客入侵事件中最突出的密码安全问题,将此类风险合并为“密码安全”专题,可以直观展示弱密码风险、空密码风险(未授权访问)、明文密码风险三类密码风险,方便政企机构安全运维人员掌握全网密码管理现状,并提供直观有效的密码安全检测管理平台 (腾讯高级威胁检测系统密码安全专题页面) 针对三类不同的密码风险,腾讯高级威胁检测系统分别提供了不同的应对措施: 弱密码风险,一般指密码设置过于简单。 (密码安全专题中告警数量趋势列表) 在信息化高度发展、互联网万物互联的今天,没有密码安全就意味着网络安全难以得到保障。 腾讯高级威胁检测系统本次推出的“密码安全专题”,强化了政企密码安全管理能力,帮助安全运维人员监督落实各种风险管控措施。
3.2K30发布于 2021-09-07 5种方法来保护你自己免受密码安全的攻击
那里有一个明显的教训:在多个站点上停止使用 - 并重新使用 - 相同的密码!如果您像普通用户一样,您的密码可能一开始并不安全。 以下是保护密码的五种策略,以便保护您。 相关:最受欢迎的密码安全公司之一被黑客入侵 1.根据违规数据库检查您的电子邮件地址。 请务必对最敏感的帐户使用2FA:例如,电子邮件,银行和密码管理员。 哦,我们提到了。。。不要重复使用密码! 5.企业可以做些什么。 在工作场所设置中保护密码和用户凭据时,风险甚至更高。 强制使用强密码应该是每个组织的网络安全计划的核心,因为现在可以通过密码控制和保护对许多服务,供应商,应用程序,设备,数据库和工业系统的访问。 相关:为什么您的密码是Hackerbait(信息图) 强大的密码,安全意识和良好的网络习惯是我们防范网络犯罪的最佳方法。保持我们的密码安全和强大保护我们的资产,我们的家庭,我们的社区和我们的工作场所。
1.7K30发布于 2018-08-01- 来自专栏云云众生s
避免量子密码陷阱:为量子密码安全做准备
美国国家标准与技术研究院 (NIST) 等政府网络安全机构普遍认为,具有密码学意义的量子计算机最早可能在 2035 年出现,甚至可能更早。 如果您的信息需要长期安全,您的数据可能已经面临风险。威胁是真实的,现在是采取行动的时候了。 2. 加密敏捷性:不可协商的因素 加密敏捷性是您未来安全保障的通行证。 制定您的逃生计划:算法变更 您不能在 2029 年除夕(NIST 和国土安全部预计每个人都将目标定为 2030 年实现量子就绪)简单地翻转开关,并期望您的系统能够神奇地支持抗量子密码学。 通过利用软件供应链安全实践来保护您的软件供应链,并确保您的供应商也了解转向量子安全算法的必要性。必须将抗量子密码学应用于开发过程的每一层,以确保您的代码及其交互的系统都是安全的。 5. 满足这些需求意味着过渡到抗量子密码学,通过融入密码敏捷性、保护您的软件供应链和升级您的基础设施来确保您的未来。
67210编辑于 2024-12-23 - 来自专栏Java实践
密码安全:如何识别强弱密码,并打造铁壁防线!
今天,我们就来聊聊密码背后的秘密,教你如何识别强弱密码,如何给这些密码加个“护盾”,让你的账号安全不再是空话。 所以,来吧! 接下来,我们就从几个方面来定义强密码的标准。 强密码的特点: 长度足够:强密码的最基本要求就是——长!长度是防止暴力破解的第一道关卡。如果你的密码只有5个字符,那就不用说了,黑客分分钟能突破。 Lv@u5b* 看吧,强密码是不是显得有点复杂?不过别担心,这些复杂的密码也有办法让你轻松管理。 如何识别密码强弱?简单技巧帮你判断 那么,如何判断一个密码到底强不强呢? 总之,启用多因素认证是增加账号安全性、降低账号被盗风险的有效方法。它能够让你在密码失窃的情况下,仍然确保自己账户的安全。记得,密码再强,也不及多一层验证的防护来得可靠! 结语:从今天起,做个密码防线的“守门员” 密码安全是网络世界中的头等大事,它关系到我们每一个人在线活动的安全。从强密码到多因素认证,每一层防护都不可忽视。
1.1K32编辑于 2024-11-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号