浅析爆库和社工库扫描

admin

最近有关国内外互联网企业的密码安全问题受到了严峻的挑战和社区的广泛关注。腾讯安全团队的技术专家介绍了有关暴库和社工库扫描的内容。
常见密码存储方式对于用户来讲，用户密码信息显然是非常重要的，我们当然有必要了解社区管理者是如果保存我们的机密信息的。目前网站中主流存放用户名和密码的方式有三种：
明文存放。这种网站的用户数据特别危险，网站被黑客拿下，用户数据直接那走。可逆加密存放。你的密码会被加密一次存放在网站的数据库中，可逆加密也是非常危险的。不可逆加密。密码通过MD5等不可逆加密算法加密后存放在网站数据库中，比上述2种密码加密方式安全。（如果md5加密后的密码泄漏，明文密码仍有通过查找表的方式反查出来的可能）从目前的情况看，有些网站过去是采用明文的方式存储密码的，那么对于一个账户信息未泄漏的网站，我们如何判断一个网站是采用什么样的密码存储方式呢？
一个很简单的方法，你通过密码找回功能操作，如果让你重设密码的，基本上是不可逆加密的，直接给你密码的，都是明文或可逆加密的，这种都非常危险。
下面我们了解一下，黑客针对后台数据库的入侵手法：
爆库，在黑客的圈子叫做“拖库”，是指将网站的数据库被黑客下载到本地。按照安全技术圈的说法，国内有点影响力的网站，2/3都被爆过库（未证实），不要认为大的网站安全万无一失，防爆库是安全架构里非常重要的一点。
防爆库不仅仅是防止别人拿到你的库，还要做到让别人拿去也没用。
密码明文存储的，一定是死路，可逆加密的，只要黑客用点心，基本也不安全；不可逆的，类似md5 加密（Md5加密方式虽然被我国专家证明可逆，但是逆向的成本很高，基本无人使用）应该很多人认为比较安全，但是遇到碰撞也很无奈。类似于cmd5.com这样的碰撞库，其规模已经非常巨大，常规的密码的破解几率大于95%，至少，我常用的密码，我断定都在碰撞库里，原因很简单，不在碰撞库里的密码，就我的记忆力是没戏了。从下图是从一个md5加密过的库中随机挑了一个加密后的密码，可以看出，md5单次加密是很容易破解的。



来源：网络转载

---