新闻资讯

【科普】关于密码安全的那些事儿

  网络时代,密码已经成为我们生活中的一部分。网上购物、电子邮箱、聊天社交、网银转账……这么多的密码,我们一次次的输入、登录,然后开始享受便捷的服务。

  然而有一天,你发现网银或第三方支付账户上资金被转走了!原因简单而粗暴——密码被盗了。所以,不时会有人语重心长的教导我们,密码要复杂些再复杂些,复杂的自己都不认识了;要长一点再长一点,长的就如一首诗。尽管如此,密码被盗还是时有发生。

  为了盗取密码,特别是那些涉及资产的高价值密码,黑客们会不择手段。下面,我们就来看看黑客们常用的几种密码截取手段:

  1、键盘窃听

  这个比较好理解,就是在键盘使用者不知情的情况下,通过隐蔽的方式记录下键盘的每一次按键信息,并将这些按键信息发送到黑客的电脑或手机,黑客可通过这些信息获取密码。进行键盘窃听可通过各种软硬件手段实现,例如在用户设备上植入木马程序,或者是伪装成U盘、插头、充电器等你想得到或想不到的各类物体的键盘记录器。

  2、屏幕记录

  现在,网银和很多软件的登录界面都支持软键盘输入。软键盘又称为安全键盘或动态键盘。因为软键盘的数字和字母都是随即生成排列的,又通过鼠标点击输入,所以很难被木马记录到。然而这难不倒黑客,他们很快开始使用屏幕记录软件,对用户屏幕进行截屏,通过截图记录鼠标点击的位置,以此破解用户密码。

  3、嗅探器

  在局域网上,黑客要想迅速获得大量的账号(包括用户名和密码),最有效的手段之一是使用嗅探器程序,使用这种工具,黑客可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以未经加密保护的形式在网络上传输时,嗅探器就如嗅到了血腥味的鲨鱼,开始贪婪的吞噬网上传送的数据包。

  以上是几种比较常见和容易理解的密码截取方式,除此以外还有如键盘钩子、反汇编、 逆向分析等五花八门且在不断推陈出新的手段。但万变不离其宗,黑客基本都是选择在密码输入或输入完毕后的信息传送阶段下手。我们每一次点击、每一次输入,都会产生一个记录,所以在记录产生的第一时间就应对其进行安全存储。而在密码输入完毕点击提交,也就是从客户端传输到服务器端的全过程都需要进行加密。做好以上两点,黑客就无从下手。

  根据对客户端系统的安全隐患和脆弱性分析,可以总结出客户端安全输入防护需要具备如下基本特性:

  1)支持键盘安全输入,防护需要达到内核级;

  2)要求脚本程序只能从“安全输入控件”中获取到用户密码的密文,不能有明文获取函数;

  3)密文应采用非对称的密钥体系,加密强度至少达到1024位;

  4)密文应能防范“重放”攻击;

  5)“安全输入控件”应通过专业测评机构的验证测试。

  核新产融作为一家由中央企业、行业协会、上市公司旗下能源及金融机构联合组建的,具有核能及清洁能源行业背景的产业链金融科技机构。目前正在集成测试目前国内最高级别安全输入系统,并将不断完善账户、密码等数据的安全策略,强化客户端与服务器端的密码存储、传输及管理,有效遏制密码截取行为,从根本上保护用户的密码安全。

  预计年后上线的核新产融密码输入系统长啥样,跟着我来一睹为快吧!