在計算機安全領域中,相信大家對窮舉密碼破解和字典密碼破解這兩個名詞一定耳聞詳熟了,對於一些 黑客或準黑客來說,這是最常用的有效獲得別人密碼的方法。
為什麼附加碼又有如此威力呢?我們先簡單分析窮舉的原理。窮舉法攻擊最重要的乙個條件是:密碼在攻擊期間內不能變化。它總能在所有字母組合中通過不斷地「試」直到成功的方法找到真正的密碼。所以窮舉法也可以叫排除法,和警察排除犯罪謙疑人差不多。那麼,能不能在身份驗證的時候加入動態的驗證內容,使每一次身份驗證時都輸入不同的驗證碼來防止類似攻擊呢?能!那就是附加碼!附加碼在web伺服器上隨機產生並記下來,再生成文字傳給使用者,使用者照著手動輸入提交,伺服器對提交的附加碼與記下來的附加碼對比一下正不正確就完成了驗證。因為每一次產生有附加碼是隨機的,所以朔雪就無能為力了。
但這也不是說有了附加碼就高枕無憂了。那還得看你對附加碼的認識和重視程度如何。
想一想,既然web伺服器都把附加碼傳給了瀏覽器,哪為什麼朔雪就不能把它讀出來自動填上呢?理論上完全可以,只是朔雪沒有那樣做罷了。
哪不是附加碼就沒用了嗎?也不是,下面我們再來看看什麼樣的附加碼是最安全的。
一、 如果返回的附加碼以文字形式返回。這是不管用的一種附加碼。攻擊者簡單提取文字附加碼自動填上就可以了。這種附加碼對安全一點幫助都沒有,反而加大了使用者的輸入負擔。[順便提一句:我看到有些**的附加碼輸入框是密碼型別的輸入框,輸入顯示*號,想一想,附加碼都顯示出來了,還用密碼型別的輸入框有何用?這是對使用者的一種愚弄!]
二、 以方式返回附加碼。這才算是真正有效的附加碼。因為是以點的方式而不是字元方式呈現給使用者的,朔雪就不能直接讀到附加碼了。這種方法很有效。但世上的事物總是矛與盾的較量。攻擊者還可以用識別技術識別上的字元,把字元還原為文字字元。這是完全可行的。那我們該如何防範呢?加大識別難度!
論附加碼在網路安全中的作用
在計算機安全領域中,相信大家對窮舉密碼破解和字典密碼破解這兩個名詞一定耳聞詳熟了,對於一些黑客或準黑客來說,這是最常用的有效獲得別人密碼的方法。在網路飛速發展的今天,網速已不在成為網路訪問的瓶頸,在為人們上網提供更快的訪問速度的同時也給黑客們提供了更廣闊的發展空間,破解越來越大地威脅著網路安全。本文...
論使用附加碼方法在網路安全中的作用
在計算機安全領域中,相信大家對窮舉密碼破解和字典密碼破解這兩個名詞一定耳聞詳熟了,對於一些黑客或準黑客來說,這是最常用的有效獲得別人密碼的方法。為什麼附加碼又有如此威力呢?我們先簡單分析窮舉的原理。窮舉法攻擊最重要的乙個條件是 密碼在攻擊期間內不能變化。它總能在所有字母組合中通過不斷地 試 直到成功...
反黑防黑 簡單論述附加碼在網路安全中所起的作用
在計算機安全領域中,相信大家對窮舉密碼破解和字典密碼破解這兩個名詞一定耳聞詳熟了,對於一些黑客或準黑客來說,這是最常用的有效獲得別人密碼的方法。為什麼附加碼又有如此威力呢?我們先簡單分析窮舉的原理。窮舉法攻擊最重要的乙個條件是 密碼在攻擊期間內不能變化。它總能在所有字母組合中通過不斷地 試 直到成功...