刚看认证宝,突然想到。
手机的软OTP如何保证APP里写的软算法不被破解?
==============================
让我们再次更新它。
前一篇文章提到这个网站经过测试,看密码有没有泄露,然后朋友提出会有安全隐患。经过深思熟虑,我没有仔细思考,也不知道网站的解密方法,所以特地去做了一个实验。现在,总结实验结论。
我猜网站解密哈希值的方法就是用需要解密的哈希值去撞入已知的明文库——哈希映射表。如果哈希值匹配,明文就会出来。而这个明文-哈希映射表应该是各种渠道的各种手机用户的明文密码,或者是用普通字典计算出来的。一方面是泄露的用户明文密码,另一方面是弱密码。其实两种方法都是字典法,只是第一个字典是泄露的密码,第二个是弱常用密码。因为HASH在理论上是不可逆的,即使一些HASH算法存在漏洞,也可以在一定程度上发生碰撞。理论上,暴力和字典,没有别的。不过听说MD5可能会使用并行计算,所以不排除cmd5使用暴力。如果cmd5使用暴力,如果你查询你的核心密码,就相当于让cmd5提前记录你的密码,会被暴力破解,等待别人检查,存在安全隐患。
这就是我在实验中所做的。首先准备两组明文,一组是我常用的最近更新的非密码,另一组是我随机键入的大小写字母组合。然后用cmd5网站计算两者的md5值,用cmd5查询这个值。在第一个查询中,两个值都表示解密不能立即执行,需要等待解密。经过几天的解密,常用的非核心最近使用的密码被解锁,但结果需要购买,而随机字符串没有解锁。第一,这个密码可能被泄露了;第二,这个密码只是在某些情况下相对于之前的普通密码进行了修改,因为很多大大小小的网站都已经注册了,所以已经泄露了。可能是被击中的变形图书馆。所以我猜cmd5的解密是非暴力解密。好奇的话可以尝试查询自己的非核心密码,等待解密。但是,有一定的风险。不知道某些条件会不会触发暴力解密。还需要注意的是,我用的是cmd5的密码哈希值直接结算,也就是已经明文输入到网站的输入框了。这一步不安全,cmd5可以完整记录这一步的输入内容,作为字典保存。因此,如果您想尝试,请使用另一个离线哈希计算工具来计算哈希值。
PS。
这一点,即使情况不规则变化,也是可以计算的。
========================
刚刚看到一个银行卡绑定支付宝,银行卡被盗的问题。
支付宝被偷了一两千元。我想知道哪一步走错了。
想起我回答了这个问题,我回来看真正的水。
最近一直在想这类安全产品,更新一下答案吧。
先贴一段之前写的,被邀请回答一次。内容一写出来,问题就删除了。
=========================
个人认为,支付宝的安全产品各有千秋。
也就是短信验证码、手机保证书、软凭证、工银u盾、OTP的强度都不一样。
如果只使用短信验证码,账户资金的安全性会更低。
因为在一个号码上保留一个密码是非常困难的,也就是你的支付宝密码没有被当作其他密码使用。
-
题外话,我现在用一个安全的小站密码。一站密集,省级网站没有诚信。仔细记住关键的。(也可以先录在txt里,然后保存,用文件密钥,密钥文件用ukey写,小的也这么做。)
-
如果你再次使用智能手机,你的账户将相当不安全,这取决于是否有人盯上它,或者是否有人愿意拿走你的钱。我根据经验评估了危险等级,我猜测是否有人愿意这么做。
如果你用手机凌豹,安全等级会提高到更高的水平。至于手机凌豹,我之前回答过,现在也还是这么想。手机安全等级相对安全,但达不到PKI级别。
软证书真的不安全,除非你认为你的个人电脑是一台安全的电脑,否则如果你的电脑被泄露了,软证书就没用了。
工行的u盾种类很多,比如OTP、挑战OTP、一代盾、二代盾。目前工行能用的肯定比第三方支付的安全。工行要把风险放在第一位,把便利放在第二位。第三方则相反。理论上讲,二代盾最安全。如果你用二代盾保护支付宝的安全,即使你想通过二代盾把钱拿走,也是不可能的。我这里说的只是第二代盾的验证流程,因为支付宝的业务逻辑太复杂了,还有一个问题就是钱是从这个业务逻辑转到那个业务逻辑,然后怎么支付或者退款,所以不需要盾的验证就可以转到其他账户。
这个OTP和工行的OTP一样,实力一样,但是发行人不一样。OTP存在问题,安全性一般,因此对OTP提出了挑战。目前盘点的原因是综合得分高,尤其是便利性方面,不可替代。结合短信,安全性也略有保障。
=========================
前面的回答比较了我知道的几款安全产品。
让我们关注短信验证码。现在看来短信的拦截转发成本很低。更不用说渠道的不安全了。极其不安全。短信本身的渠道不可信。如果手机不再是一个可信的环境,结果就会是上面的链接。如果你用智慧,
手机,至少要加上一个手机宝令吧,稍微有点保障。(对,ios了解不深,不知道这手势密码的强度怎样,感觉也不高)宝令(OTP)这类东西,听说被攻破过,虽然不知道原理(除了算法被破),但是这东西不算是强安全,没法不可抵赖呀,所以也不认为是特别安全。
吐槽下。
现在我感觉支付宝跟银行弄的这个快捷支付要出大问题呀。
用户和银行最想要的结果是,我任何信息都泄漏了,但是我只要有一个东西在手中,就是没问题的。磁条卡和一代盾都是这么要被废的。而现在快捷支付的开通和使用过程中没有任何这个保障。而对于银行和支付宝的承诺,可信度和实行性又是多少呢。支付宝的业务逻辑太复杂了,而且你实实在在的丢钱他要先检查下你是否骗保呀。缺的还是一个不可抵赖的条件。
便捷牺牲的就是安全,都是在尽力平衡两者。如果风险过了拐点,还是的考虑安全。
PS。
已把钱转出余额宝。我深深的体会到那些,用单独开过网银的卡,只保留一小部分钱去网购的心理了。他们看到的案例和懂得技术。。。。。。
=========================
old
支付宝快捷支付准确来讲是不安全的。
我认为不安全的原因有如下几点:
1.认为快捷支付的安全是以你信赖支付宝或阿里为准的,也就是说如果从支付宝内部瓦解等手段,快捷支付完全可以刷爆你的卡或者刷掉您的钱,因为支付宝所有验证安全性的环节都是和支付宝安全体系接轨的,而不是同银行接轨的。
2.短信验证码是极其不安全的,短信验证码在链路中走的是明文,所以快捷支付绑定短信支付码是不安全的。
3.前段时间风传刷过拉卡拉的卡被盗刷,这事反应俩个问题。一是磁条卡很不安全,盗刷成本很低。二是作为第三方支付企业,如果你为了方便过分截留安全信息,你有很大的风险,保证你自己不被内部瓦解。安全的做法还是建立起链路,全是密文在走,自己什么都不留。我想大家都不愿意沦为管道,那这事如何博弈,那没法说了。
4.最重要一点,快捷支付是没办法保证不可抵赖性的,就算OTP也不可以。如果支付宝被攻破,伪装成持卡者,发起快捷交易,如果支付宝抵赖,没有任何办法去保证被盗刷的卡的不可抵赖的。这点和1很重复,就是你对阿里相信多少。就类似于你把钱放在银行,你对银行相信多少一样,银行对你是没有不可抵赖性的。因此,银行通过建立各种机制,去保证不可抵赖性。比如核对身份证件,本人签字等。如果否认,可以去查本人签字等。
PS
我还是在用快捷支付的,一方面是我对支付宝的体系安全和信用的信任,二是因为属实很方便。但是我是绑定了手机宝令的,对于这种类OTP的东西,我相信如果出问题,一定是大问题,我认为是不可抗因素吧,就和IC卡被盗充值情况一样。
展开阅读全文
相关阅读
本文链接:http://www.slxf119.com/1587.html 转载需授权!
网友评论