《WEB应用开发中的安全计算使用策略.pdf》由会员分享,可在线阅读,更多相关《WEB应用开发中的安全计算使用策略.pdf(33页珍藏版)》请在三一文库上搜索。
1、WEB应用开发中的安全算法使用策略 安天实验室 2012-2-20 自我介绍 姓名:童志明 简介:ASM/C/C+程序员,专科肄业,自学未成才 职务:目前任安天反病毒引擎研发中心 总经理 Mail: 2012-11-14 创造安全每一天 第2页 演讲内容 背景介绍 我们所面临的威胁 那些错误的实现 安全算法使用策略 结束 2012-11-14 创造安全每一天 第3页 背景介绍 关于演讲中的名词说明以及泄密事件的背景 2012-11-14 创造安全每一天 第4页 背景介绍名词相关 HASH: 简单的说就是一种将任意长度的消息压缩 到某一固定长度的消息摘要。 加密/密文:把口令变换的过程称为加密,
2、以及把 口令变换后的结果称为密文并不科学,但却是公 众所能理解的。 计算速度: 关于HASH的计算速度,本文所指的是 单位时间内的计算次数 2012-11-14 创造安全每一天 第5页 背景介绍泄密事件 索尼数据遭窃受影响的用户可能超过1亿 索尼 世嘉欧洲分公司承认世嘉的通行证系统遭到非法入 侵,有129.0755万用户的资料被盗取。 世嘉 约有36万用户受到影响,约有20万位客户的帐户信 息被窃 花旗银行 600万用户数据泄密 CSDN 800万用户数据泄密 多玩 约3000万用户数据泄密 天涯 2012-11-14 创造安全每一天 第6页 我们所面临的威胁 我们所面临的安全威胁 2012-
3、11-14 创造安全每一天 第7页 威胁无处不在安全是一个整体 在当前0day横行的时代,几乎没有网站和应用可 以绝对保证自己数据库系统的安全 2012-11-14 创造安全每一天 第8页 数据 泄露 系统 服务 运维 备份 威胁无处不在信息的二次利用 信息被盗后,攻击者会对信息进行二次利用 2012-11-14 创造安全每一天 第9页 那些错误的实现 在泄密事件发生后我们听到了各种各样的声音 2012-11-14 创造安全每一天 第10页 那些错误的实现使用标准HASH算法 不合理但比较靠谱的实现 如何应对统计攻击? 2012-11-14 创造安全每一天 第11页 那些错误的实现使用标准HA
4、SH算法 不合理但比较靠谱的实现 如何应对高频碰撞? 2012-11-14 创造安全每一天 第12页 那些错误的实现联合使用HASH 与使用标准HASH算法相同 如何应对彩虹表? 2012-11-14 创造安全每一天 第13页 简写简写 功能功能 应用场景应用场景 md5 对密码做MD5 大量常见网站 md5(md5($pass) 对密码的MD5值再做MD5 大量常见网站 md5($pass.$salt) 将密码与盐连接,做MD5 Joomla等开源CMS系统 md5($salt.$pass) 将盐与密码连接,做MD5 osCommerce等开源电子商务系统 md5(md5($pass).$s
5、alt) 将密码的MD5值与盐连接,再做MD5 Vbulletin、IceBB、Discuz等论坛系统 md5(md5($salt).$pass) 将盐的MD5值与密码连接,再做MD5 md5($salt.$pass.$salt) 将盐、密码、盐连接到一起,做MD% TBDev等在线P2P系统 md5($salt.md5($pass) 将盐与密码的MD5值连接,再做MD5 md5(md5($pass).md5($salt) 将密码的MD5值与盐的MD5值连接,再做MD5 md5(md5($salt).md5($pass) 将盐的MD5值与密码的MD5值连接,再做MD5 ipb、mybb等论坛系
6、统 MD5(Unix) 对密码做MD5,以Unix shadow风格存储 phpBB3等论坛系统、WordPress等博客系统 md5(unicode) 对密码的Unicode做MD5 Unix/Linux系统 sha1 对密码做SHA-1 大量常见网站 sha1($salt.$pass) 将盐与密码连接,做SHA-1 sha1(lower($username).$pass) 将小写用户名与密码连接,做SHA-1 SMF等论坛系统 sha1(upper($username).:.upper($pass) 将大写用户名连接字符:、连接大写密码,做SHA-1 ManGOS等网游服务器系统 sha1
7、($username.:.$pass) 将用户名连接字符:、连接密码,做SHA-1 sha256 对密码做SHA-256 sha512 对密码做SHA-512 mysql MySQL账户密码加密方式 MySQL数据库系统第4版及以前 mysql5 MySQL账户密码加密方式 MySQL数据库系统第5版及以后 mssql SQL Server账户密码加密方式 微软SQL Server服务器系统 Des(unix) 对密码做DES加密,以Unix shadow风格存储 Unix/Linux系统 NTLM Windows NT域认证协议加密方式 Windows NT、Windows Server 2
8、000等操作系统 serv-u Serv-U账户密码加密方式 Serv-U FTP服务器系统 radmin v2.x Radmin账户密码加密方式 Radmin远程控制系统 那些错误的实现联合使用HASH 彩虹表生成器 2012-11-14 创造安全每一天 第14页 那些错误的实现自己设计算法 如果保证HASH的均匀性? Hash Collision DoS ( 通过Hash碰撞进行的拒绝 式服务攻击) 2012-11-14 创造安全每一天 第15页 引自安天2010.03基于内存对象对26种HASH方法的测试结果 那些错误的实现慢速HASH 慢速HASH能有多慢? 无法解决上述的问题! 20
9、12-11-14 创造安全每一天 第16页 安全算法使用策略 使用正确的设计方案、正确的算法是我们所需要的 2012-11-14 创造安全每一天 第17页 安全算法使用策略APM介绍 2012-11-14 创造安全每一天 第18页 介绍 算法 RSA、SHA256 基于现有开源包的算法合理 应用的示例,不是算法实现也 不是新算法。 一用户一盐 个性化量(用户名) 盐表 同行经验(UID、注册时间) 提供还原模式,不建议采用。 最无奈 “一号通”无解 资源 开源 http:/ password-mixer 安全算法使用策略为什么要使用标准算法 标准的算法是公 开的 标准的算法其合 理性是经过科学
10、 验证的 有些问题不是算 法的问题,是如 何合理使用的问 题 2012-11-14 创造安全每一天 第19页 安全算法使用策略如何应对密文攻击 攻击者掌握的资源 - 计算速度 - 计算资源 2012-11-14 创造安全每一天 第20页 主机环境:主机环境: Core 2 (T7250) 2.0 G ,2M cache, 4GB RAM, Windows server 2008 64位位 虚拟机环境:虚拟机环境: Vmware Server, Ubuntu 10.04, 512MB RAM 在虚拟机中针对在虚拟机中针对16个字节的数据计算个字节的数据计算MD5,2.99秒内共秒内共175939
11、3 次次。 安全算法使用策略如何应对密文攻击 常态速度 2012-11-14 创造安全每一天 第21页 GPU加速之后 引自安天2010.03基于内存对象对26种HASH方法的测试结果 安全算法使用策略如何应对密文攻击 现有的攻击手段 2012-11-14 创造安全每一天 第22页 统计攻击 基于密码出现的频率的统计攻击 高频碰撞 反向查询 彩虹表 MD5反查网站 . 暴力破解 各种HASH计算的工具 安全算法使用策略如何应对密文攻击 为什么要使用盐? 2012-11-14 创造安全每一天 第23页 安全算法使用策略如何应对密文攻击 当用户首次提供密码时(通常是注册时),由系 统自动往这个密码
12、里加入SALT,然后再散列。而 当用户登录时,系统为用户提供的代码撒上同样 的SALT,然后散列,再比较散列值,已确定密码 是否正确。 2012-11-14 创造安全每一天 第24页 安全算法使用策略如何应对密文攻击 APM示意图 2012-11-14 创造安全每一天 第25页 安全算法使用策略盐的使用 单一SALT 一站一盐 一用户一盐 2012-11-14 创造安全每一天 第26页 密码密码 HASH 123456 E10ADC3949BA59ABBE56E057F20F883E 123456 E10ADC3949BA59ABBE56E057F20F883E 123456 E10ADC39
13、49BA59ABBE56E057F20F883E 密码密码 SALT HASH 123456 Wsdi454 06CC18B34EFCEABF801370B6AC0BAC97 123456 Wsdi454 06CC18B34EFCEABF801370B6AC0BAC97 123456 Wsdi454 06CC18B34EFCEABF801370B6AC0BAC97 密码密码 SALT HASH 123456 544dis2 455EB95E69898DBB4863CC1D5B9ED69E 123456 ridkm55 4BAAE50DD75CD70619B7E0C394E0D08D 12345
14、6 ttdfci2 9E12FFB5D4ABCD73E9A6D12B07780126 123456 dkvi6dc F6DD2AA48071D7148BC03BD297F3CA33 123456 ck6d2wd 880C1FE54C171F043B6428BC4437C9B1 其它策略APM中的KC 随着互联网web2.0网站的兴起,非关系型的数据 库现在成了一个极其热门的新领域,非关系数据 库产品的发展非常迅速。 如果阅读过APM代码,你会发现实现中没有使用 SQL而是用的Kyoto Cabinet 2012-11-14 创造安全每一天 第27页 其它策略常见口令规避 上述的所有问题中,“一
15、号通”是最无奈的 2012-11-14 创造安全每一天 第28页 其它策略常见口令规避 常态“一号通”检查 高频密码、已泄漏密码提示 动态均衡(亦有弊端) 2012-11-14 创造安全每一天 第29页 其它策略运维 不要把鸡蛋放在一个篮子里 2012-11-14 创造安全每一天 第30页 参考资料 演讲者关于密码相关策略的文章 http:/ Antiy Password Mixer http:/ 关于GPU加速算法 http:/ 2012-11-14 创造安全每一天 第31页 联系方式 公司:安天科技股份有限公司 姓名:童志明 Mail: 2012-11-14 创造安全每一天 第32页 感谢大家的关注!