Archivio Categoria: IT espresso

CSDN password è stata rotto dopo la fuoriuscita, in Twitter e Weibo causato ripercussioni diffuse, molte persone in discussione la gestione della sicurezza dei siti web nazionali, il coraggio di memorizzare direttamente le password in chiaro. Un po 'di conoscenza degli sviluppatori di applicazioni Web dovrebbe sapere direttamente nel database di password in chiaro è molto pericoloso. Ma perché così tante persone lo fanno ancora? Loro per quale scopo? Si stimola la riflessione. Come un sito web deve essere salvato la password dell'utente finale in sicurezza? Processo di login dovrebbero essere progettati, come? Ci sono due articoli sul guscio fresco descritto bene: si farà la funzione di login degli utenti Web? E gli sviluppatori Web hanno bisogno di capire le cose. Frog Oltre al college fuori di quel sistema cavallo dio elettive, non sostanzialmente fatto di applicazioni Web dal punto di utenti Web di visualizzare un fastidioso pochi dimenticare. Prima di tutto, siamo alla fine il numero di password? Solo uno non è chiaramente, se si utilizza questo sito ha una password non volo, la password utente a perdere (era nero Ye Hao, Ye Hao venduto da siti senza scrupoli, naturalmente, nel cielo c'è un'altra possibilità: essere raccolta di governo), tutti i siti devono reimpostare la password. Ho impostato una password per ogni sito, ora è un sito da registrare, che può ricordare le password così tanti ah. Al fine di prevenire la password dimenticare, in generale ci sono due idee: Password Manager Questo metodo è relativamente semplice, è in realtà salvato una password. Questo perché il browser ricordare la password sulla funzione built-in, la password utente dal gravoso compito di memoria liberata. Ma il modo in cui il browser funzione di memoria la password di un singolo, e si legano con il browser, per un browser è finito. C'è un sistema di gestione delle password è dotato di strumenti come il KWallet come KDE avrà questo problema, con un ambiente vincolante, la mobilità non è elevato. Frog non è anche una buona esperienza, si può pensare è quello di essere inserito dopo la crittografia KWallet Dropbox, in modo che più computer può essere risolto tra la sincronizzazione password, ma ancora non risolve il problema di cross-platform. Questo problema potrebbe essere necessario utilizzare dispositivi mobili per completare, come l'applicazione di gestione delle password per Android. Sito + caratteristiche di base password password regola direttore combinazione è in realtà un rischio per la sicurezza, perché la password è memorizzata in un computer, un utente malintenzionato può ottenere il file delle password e quindi provare a forza bruta (password manager ha ancora bisogno di una master password). Pertanto, un altro metodo si basa ampiamente rispettato il codice su un sito-specifiche caratteristiche di combinazioni di stringhe. Così si può facilmente ricordare il cervello direttamente. Shell ha anche un articolo fresco descrive questo approccio: come gestire la progettazione e la tua password, ma la rana ha alcune altre idee. Fornite in questo articolo si cambia per ogni sito sembra essere modo semplice e pratico, infatti, c'è un grosso problema: si può facilmente vedere che la base della password e cambia le regole, perché l'attaccante per ottenere la password quando la volontà generale che questo è un Che sito è un Dio, i cavalli, e un confronto con la password, sarà solo aggiungere il prefisso e suffisso, fare le stesse regole, le altre password di siti può speculare fuori. Quindi, questo cambiamento delle regole deve avere tre requisiti: facile da calcolare (in considerazione della velocità di calcolo del cervello umano), meno evidente (non facile da vedere attraverso il trucco), ma anche abbastanza complesso (immagino la difficoltà è aumentata). Con questi tre requisiti sono difficilmente trovare una regola semplice. Rana in questo esempio: in primo luogo, secondo categorie principali del dominio, l'accesso al digitale A, per esempio, com è il 1 ° netto è 2, cn è 3, l'altro è 4, la classificazione delle lettere come si conta il numero di siti, l'accesso al digitale B, ad esempio, gfrog.net, il nome di dominio ha cinque lettere sito soggetto per scattare la prima lettera, ricevuta il terzo posto, password quarto posto, ad esempio lettere gfrog.net, testa e coda g g e questo passaggio è facoltativo, in modo da non avere l'attacco password in chiaro a colpo d'occhio vedere i difetti, il terzo passo da intraprendere per cambiare la lettera, questa trasformazione può essere fissato, per esempio, andare direttamente avanti o indietro alcune lettere, o direttamente convertita in codice ASCII, quindi ottenere alla fase due password nel campo password nella posizione prima base A e B di posizione, la password di accesso è la password di questo sito. Questo metodo è un esempio della rana basti pensare, o non la prendono direttamente, gli algoritmi di crittografia si basano sulle regole di questo algoritmo non è divertente da dire. Alla ricerca di un facile da usare, calcolare i risultati, ma non algoritmo troppo ovvio per mixare la tua password giusta. Anche nel guscio fresco come gestire e progettare la tua password in questo articolo anche citato il problema della classificazione password, sembra che siamo a conoscenza di una password di base ancora non sicuro, XD classificazione password, rana che si divide in almeno 5 set, in ordine decrescente di importanza: per i soldi: coinvolgere soldi veri, ah, deve essere password complesse importante sito web le informazioni personali: gmail, sito web SNS, MSN, ecc, questi siti sono spesso conservate importanti informazioni personali, in modo da proteggere la sicurezza dell'account è molto importante. Domestico fornitore di servizi di posta, SNS, ecc, mentre le informazioni personali è altrettanto importante, ma soccombere a qualche tipo di siti domestico spesso la pressione invisibile, sai, è elencati separatamente. Naturalmente, nel paese di fornire informazioni personali sul sito anche fare attenzione, non c'è sicurezza a tutti. Generale i siti, non c'è alcun dubbio una password comune è sufficiente per salvare il processo di miglioramento della password di web per questo sito l'approccio migliore non è l'inferno, se non si può evitare, il più basso livello di sicurezza della gestione delle password è come, perché la password saranno inevitabilmente esposti a agli occhi di altri. Oh, diciamo per un lungo periodo password basate, password approccio genera anche un sacco di rane consigliamo apg questo pacchetto, la release più importanti sono a disposizione, può generare un determinato periodo di una password, ad esempio: $ apg Si prega di inserire alcuni dati casuali (solo i primi 8 sono significativi) (es. il tuo vecchio ... Continua a leggere →