2023年7月31日发(作者:)
电子商务E-business电子商务中密码安全性研究 西安政治学院 邹捷摘 要:密码安全是电子商务交易安全的基础,本文通过实例分析,得出当前密码安全性存在的主要问题是密码强度低、管理不当、网站风险等问题,所面对的主要威胁来源于拖库、字典暴力破解、社会工程学攻击。关键词:电子商务 交易安全 密码中图分类号:F724.6
文献标识码:A
文章编号:1005-5800(2012)05(b)-115-022011年底,一场密码泄露的风暴席卷了互联网,以知名程序员网站CSDN的600万用户账号密码以明码方式泄露开始,天涯、多玩、人人网等多家大网站的用户密码也被传到网上,给中国广大的互联网用户带来了极大的震动。“城门失火殃及池鱼”,由于大量用户习惯使用相同的密码登录各种网站,尽管密码事件涉及的网站以论坛、社交网为主,威胁最大的却是一些重要的网站,如微博、邮箱,特别是电子商务网站。本文就这场危机中暴露出的密码安全性问题进行了研究。1 电子商务中密码的重要性电子商务是一种利用互联网,交易双方不谋面地完成各种交易活动的新型商业运营模式。由于电子商务具有交易不见面、依托互联网、涉及到真实金额等特点,历来都是破解攻击者的最爱,因此可靠的、安全的交易是电子商务的前提和基础。为了保障电子商务的安全,采用了基于数据加密技术的报文摘要、数字签名、数字证书及安全交易协议等一系列手段,实现了电子商务交易中信息的保密性、完整性、不可抵赖性和身份的确定性。但是,在整个安全保障体系中,无法取代的是密码这一“古老”的安全手段。密码既是最基本的安全措施,也是最重要的安全措施。当前各大主流电子商务网站,只要有账号和密码,就可以登录进入网站,查看历史的交易记录,轻易了解和修改用户资料,甚至可以进行冒名交易、转账或提现等。可见,密码是电子商务安全中至关重要的一个环节。但是,密码的设置、管理,依赖个人的信息安全意识和操作水平。由于电子商务的用户群巨大,信息素养水平参差不齐,大量的用户的密码存在安全隐患,使密码问题成为当前电子商务安全的“短板”。2 当前密码管理的问题2.1 密码安全性不足很多人为了方便记忆,使用比较简单的数字或者字母组合来设置密码,这些密码容易被人猜测到或者被破解工具破解,往往被称为“弱口令”(weak password)。美国密码管理应用提供商SplashData总结发布了2011年度最差的25个密码的榜单,password排名第一,后面依次包括123456、12345678、qwerty、abc123、monkey、1234567、letmein等密码。这些密码多为键盘上的临近键组合或常见单词,毫无疑问都是非常危险的。在密码事件中,网上流传着很多网站的用户密码库的打包文件,里面有海量的账户密码信息,经验证其中的某些账户仍然可以使用。通过对其中一个知名社交网站的密码库进行分析,发现中国的网络用户在弱口令的设置上的与国外相比不相上下,同时也有自己的一些特点。在总共2275351个密码样本中,按重复次数排名前十的密码分别是:123456、123456789、0、111111、12345、5201314、123123、123、12345678、1314520。其中,第一名的123456共有107564人使用。与美国的常用弱口令相比,中国用户明显喜欢用数字,排名最高的字母弱口令是第15名的woaini,被2014人使用。对密码库进行进一步的分析,发现弱口令主要有以下几类:第一类弱口令是非常容易记忆的密码,包括有:(1)有规律的数字串,如123456、111111等。(2)键盘上的相邻按键,如zxcvbnm、asdasd、qazwsx、qwerty、159753等。(3)数字谐音,如5201314、1314520等。(4)简单的拼音,如woaini、woaini1314、ILOVEYOU等。第二类是日期型密码,往往以个人或家人的生日或重要纪念日为密码。分析数据时,仅仅按照年月日的模式在样本库中查找,就匹配了159129个密码,占总数的6.99%。第三类是以电话号码为密码。在所有样本中,仅以手机号码为密码的就有39977个,占了1.75%。使用座机号码或者部分手机号码的情况,则就更多了。2.2 密码管理不当互联网上的内容丰富,邮箱、论坛、博客、社交网等网站数不胜数,每个人可能都会有自己喜好的网站。如何管理好众多不同网站的账号和密码,也是事关安全的重要问题。出于方便记忆的原因,很多人习惯使用同一个账号名和密码来注册不同的网站。这样做的风险在于:即使密码自身的强度再强,但如果注册的某一个网站不可信或因安全性不足被攻破,导致密码泄露的话,那么,其他所有的使用该密码的网站都变得不再安全了。2.3 网站安全性不足除了用户的问题,一些网站由于自身技术实力、管理水平的不足,也存在极大风险。表现为两个方面:一是密码用明码的方式保存,为了开发、调试程序的方便,对于用户密码不加密就保存在数据库中,使这些机密信息随时都有暴露的危险。二是服务器的管理不完善,安全防护水平低,易被黑客入侵,将用户信息窃走。3 当前电子商务面临的主要威胁3.1 拖库拖库是指数据库程序员将数据库中的数据导出的行为,也被黑客们特指为成功入侵服务器后,将数据库中用户信息导出的行为。和常规的挂马、钓鱼等安全威胁手段不同,拖库的目标不再是每个用户的个体,而是服务器。一旦服务器被攻破,那么所有的账号和密码就全部被得到了。可见,黑客攻击后进行拖库的危害更甚于其他的方式。3.2 结合字典的暴力破解暴力破解即穷举法破解,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。暴力破解成功率与构成密码的字符集的范围密切相关。被大量用户喜欢的纯数字密码,由于字符集只有10个数字,所以对暴力破解而言是最快被破解的密码。字符集一般分为数字、小写字母、大写字母、符号等不同的 2012年5月115
2023年7月31日发(作者:)
电子商务E-business电子商务中密码安全性研究 西安政治学院 邹捷摘 要:密码安全是电子商务交易安全的基础,本文通过实例分析,得出当前密码安全性存在的主要问题是密码强度低、管理不当、网站风险等问题,所面对的主要威胁来源于拖库、字典暴力破解、社会工程学攻击。关键词:电子商务 交易安全 密码中图分类号:F724.6
文献标识码:A
文章编号:1005-5800(2012)05(b)-115-022011年底,一场密码泄露的风暴席卷了互联网,以知名程序员网站CSDN的600万用户账号密码以明码方式泄露开始,天涯、多玩、人人网等多家大网站的用户密码也被传到网上,给中国广大的互联网用户带来了极大的震动。“城门失火殃及池鱼”,由于大量用户习惯使用相同的密码登录各种网站,尽管密码事件涉及的网站以论坛、社交网为主,威胁最大的却是一些重要的网站,如微博、邮箱,特别是电子商务网站。本文就这场危机中暴露出的密码安全性问题进行了研究。1 电子商务中密码的重要性电子商务是一种利用互联网,交易双方不谋面地完成各种交易活动的新型商业运营模式。由于电子商务具有交易不见面、依托互联网、涉及到真实金额等特点,历来都是破解攻击者的最爱,因此可靠的、安全的交易是电子商务的前提和基础。为了保障电子商务的安全,采用了基于数据加密技术的报文摘要、数字签名、数字证书及安全交易协议等一系列手段,实现了电子商务交易中信息的保密性、完整性、不可抵赖性和身份的确定性。但是,在整个安全保障体系中,无法取代的是密码这一“古老”的安全手段。密码既是最基本的安全措施,也是最重要的安全措施。当前各大主流电子商务网站,只要有账号和密码,就可以登录进入网站,查看历史的交易记录,轻易了解和修改用户资料,甚至可以进行冒名交易、转账或提现等。可见,密码是电子商务安全中至关重要的一个环节。但是,密码的设置、管理,依赖个人的信息安全意识和操作水平。由于电子商务的用户群巨大,信息素养水平参差不齐,大量的用户的密码存在安全隐患,使密码问题成为当前电子商务安全的“短板”。2 当前密码管理的问题2.1 密码安全性不足很多人为了方便记忆,使用比较简单的数字或者字母组合来设置密码,这些密码容易被人猜测到或者被破解工具破解,往往被称为“弱口令”(weak password)。美国密码管理应用提供商SplashData总结发布了2011年度最差的25个密码的榜单,password排名第一,后面依次包括123456、12345678、qwerty、abc123、monkey、1234567、letmein等密码。这些密码多为键盘上的临近键组合或常见单词,毫无疑问都是非常危险的。在密码事件中,网上流传着很多网站的用户密码库的打包文件,里面有海量的账户密码信息,经验证其中的某些账户仍然可以使用。通过对其中一个知名社交网站的密码库进行分析,发现中国的网络用户在弱口令的设置上的与国外相比不相上下,同时也有自己的一些特点。在总共2275351个密码样本中,按重复次数排名前十的密码分别是:123456、123456789、0、111111、12345、5201314、123123、123、12345678、1314520。其中,第一名的123456共有107564人使用。与美国的常用弱口令相比,中国用户明显喜欢用数字,排名最高的字母弱口令是第15名的woaini,被2014人使用。对密码库进行进一步的分析,发现弱口令主要有以下几类:第一类弱口令是非常容易记忆的密码,包括有:(1)有规律的数字串,如123456、111111等。(2)键盘上的相邻按键,如zxcvbnm、asdasd、qazwsx、qwerty、159753等。(3)数字谐音,如5201314、1314520等。(4)简单的拼音,如woaini、woaini1314、ILOVEYOU等。第二类是日期型密码,往往以个人或家人的生日或重要纪念日为密码。分析数据时,仅仅按照年月日的模式在样本库中查找,就匹配了159129个密码,占总数的6.99%。第三类是以电话号码为密码。在所有样本中,仅以手机号码为密码的就有39977个,占了1.75%。使用座机号码或者部分手机号码的情况,则就更多了。2.2 密码管理不当互联网上的内容丰富,邮箱、论坛、博客、社交网等网站数不胜数,每个人可能都会有自己喜好的网站。如何管理好众多不同网站的账号和密码,也是事关安全的重要问题。出于方便记忆的原因,很多人习惯使用同一个账号名和密码来注册不同的网站。这样做的风险在于:即使密码自身的强度再强,但如果注册的某一个网站不可信或因安全性不足被攻破,导致密码泄露的话,那么,其他所有的使用该密码的网站都变得不再安全了。2.3 网站安全性不足除了用户的问题,一些网站由于自身技术实力、管理水平的不足,也存在极大风险。表现为两个方面:一是密码用明码的方式保存,为了开发、调试程序的方便,对于用户密码不加密就保存在数据库中,使这些机密信息随时都有暴露的危险。二是服务器的管理不完善,安全防护水平低,易被黑客入侵,将用户信息窃走。3 当前电子商务面临的主要威胁3.1 拖库拖库是指数据库程序员将数据库中的数据导出的行为,也被黑客们特指为成功入侵服务器后,将数据库中用户信息导出的行为。和常规的挂马、钓鱼等安全威胁手段不同,拖库的目标不再是每个用户的个体,而是服务器。一旦服务器被攻破,那么所有的账号和密码就全部被得到了。可见,黑客攻击后进行拖库的危害更甚于其他的方式。3.2 结合字典的暴力破解暴力破解即穷举法破解,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。暴力破解成功率与构成密码的字符集的范围密切相关。被大量用户喜欢的纯数字密码,由于字符集只有10个数字,所以对暴力破解而言是最快被破解的密码。字符集一般分为数字、小写字母、大写字母、符号等不同的 2012年5月115
发布评论