个人信息安全基本知识

个人信息安全基本知识

信息泄露途径我们个人信息安全的对手国际级对手：

国徽事件、棱镜门、大使馆白盒子启示录橙色方框标明大使馆白盒子，疑似监控装置。

美国驻北京大使馆本人信息窃取者信息接收者美国驻莫斯科大使馆美国驻马德里大使馆专业级的对手：

数据库管理人员（有）无意泄露数据。

例如：

1、通过搜索引擎查询的内容，在登陆替他网站时会出现类似内容的广告。

2、思科等厂商路由器被爆存安全后门或泄露个人信息等等。

生活中随处可见的对手：

计算机爱好者与菜鸟之间的对决。

例如：腾讯网快递短信携带木马，糊弄用户下载软件赚广告收益道德层面上的对手：

“别有用心”之人。

（与技术无必然联系）一种是“说者无心，听者有意”：有意听取我们的信息之人。

一种是“普遍撒网，重点捕捞”：骚扰电话、垃圾短信、垃圾邮件。

一种是“唯恐天下不乱”者：病毒、木马、恶意软件、网络钓鱼、网络攻击等防不胜防的个人信息泄露场合

1、必然泄露个人信息的场合（1）发布广告（2）信息公告

2、可能泄露信息的场合（1）公共服务机构：出卖客户信息（2）私营服

务单位：会员卡、中介泄露或出卖（3）其他场合：快递、个人简历等

3、即使不泄露个人信息也会被骚扰的场合（1）电子垃圾：如邮件垃圾、垃圾短信、骚扰电话。

（2）生活小广告：假装送包裹、办车险来套你的个人信息。

为什么现实中系统如此脆弱

1、特例常会让看似完善的设计功亏一篑例如：某地民政部门为了解决当地人的养老问题，建了一所养老院，规定全免费入院需同时满足两个条件：一是“六岁以上”，二是“无儿无女”。

很快，该系统就因一位90 岁高龄的老人被拒收而引起民众对该条件是否“完善”的怀疑。

一位90 岁老人有一个儿子，但他那位64 岁的儿子因为无儿无女，已住进了该养老院。

2、设计角度也存在“横看成岭侧成峰”大思想家庄子认为，“箱子为了防偷，就应该系紧些，但当大盗来了，连绳子带箱子抢走背着跑时，他唯恐你系得不紧呢。”一套自以为设计很完善的系统，优势反而因其自身过于完善而产生矛盾，最后陷入不完善状态。

实例 :第二

次世界大战时，曾有一个有经验的电报监听员，即使敌人频繁地更换密码，仍能快速监听并判断移动中的发报员哪个是团部，哪个是师部。这个谜团直到战争结束才得以揭晓。原来，他判断原则根本就不是解密电文，而是发报员每天向外发出电报的流量。很明显，一个师部一天的电报发送量肯定多于一个团部一天的电报发送量。

3、内部职责间的衔接常是“你要瓜，我给你豆”有些系统复杂到一定程度，就需要将整个系统分成多个子系统，每个子系统单独设计，将系统的总复杂度降低。子系统之间，由于相互无条件信任，这样一来，某个子系统因一个小的设计失误而提供错误的数据，其他子系统会将其当做正确信息进行处理，伴随而来的无疑是系统的整体安全性降低，甚至可能使错误扩大，最终导致崩溃性的设计失误。

4、“家贼”难防、难管、难查一套系统中，至少分为两个级别 :一是面向大众普通用户；一是解决普通用户解决不了的问题的管理员。毫无疑问，管理员拥有“至高无上”的权利。可是，如果管理员“变节”，会有什么后果 ?普通用户的数据库信息泄露，造成普通用户的信息安全问题。

案例：

全文结束》》年，国内最早的同学录网站5460发生信息泄露；全文结束》》年，有黑客在网上公开了知名程序员网站 CSDN的用户数据库，600 多万个明文注册账号密码造曝光和外泄。

第二章密码信息安全的大门

一、生活中的密码体系模型密码的作用就是将用户分两类：一类是允许进入某系统的人，另一类是不允许进入某系统的人。二者的特征是：前一种人拥有某种认证标志（即密码本身），后一种则没有，系统则只认可该标志，而不认可具体的人。

二、常见的认证系统破解方式图密码认证系统一套密码认证系统由认证模块、系统功能模块、数据库3 个部分组成。

1、认证模块：

负责接收用户输入的密码，对用户输入密码进行加密或者对数据库中事先保存的密码进行解密，然后将二

者进行比较，如果一致则通过认证，用户“通过”认证系统进入系统功能模块。

认证模块数据库认证模块绕过暴力嗅探修改系统间

2、数据库：

是一个广义的“数据库”，只要能保存密码都可以称为数据库。

小到程序中一个变量，中到一个配置文件，大到专业数据库中的一条记录。

3、系统功能模块：

是与认证系统直接相关的，通过认证可以使用，不通过认证无法使用的模块。之所以将系统功能模块归为认证系统的一部分，是因为很多系统功能模块是密码本身进行加密的。

绕过式破解法绕过式破解密码原理非常简单，其实就是绕过密码的整个认证机制。

1、万能密码在不知道实际密码的情况下，可以直接通过万能密码进入系统。A word BIOS 通用密码：

j2

56、 LKWPPETER、 wantgirl、 Ebbb、 Syxz、 aLLy、 AWRD?SW、 AWRD_SW、j2

62、 HLT、 SER、 SKY_FOX、 BIOSTAR 等等。A MI BIOS 通用密码：

AMI、 BIOS、 PASSWOR

D、 HEWITT RAN

D、 AMI_SW、 LKWPETER、

A、M、I 上述数据来自网友的总结，并且多出现在一些较旧（5年前）的主板上，在新式主板上不一定有效。

2、缺少 session（会话）的网页正常情况下，凡是需要认证的网页在用户认证成功时，都会获得一个 session，之后的网页凭借着当前用户有没有session 就能知道他之前有没有通过认证。

没有通过认证的用户，将看到“当前页面已过期”；通过认证过的用户，则可以进行之后的各项操作。

然而，很多网站在制作时，会因为缺少 session 机制而导致用户只要很据URL 就可以访问所有网页，就像一个有门的锁却没有院墙的院子，其门锁的作用被直接绕过，其安全性也不言而喻。

（例如：人人网）修改式破解法一套加密系统中，未加密的内容称为“明文” ( Plain text)，而加密以后的内容称为“密文” (Cipher text)。在密码系统中，系统保存的是密文，每当有用户登录时，系统会把用户输入的“明文”进行加密，然后与保存的密文进行比较，进而判断用户是否是合法用户。但如果未使用加密系统，则这时的明文和密文是一样的。

从破解密码的角度，如果能看到明文密码，则意味着破解成功。密码的保存有可能使用明文吗？当然不可能。现在的系统，除非系统设计人员想使用任何人的密码，否则几乎所有密码都会以加密的方式保存。既然系统数据都是加密的，那就只能强制修改密码了。

1清空式所谓清空式就是把密码区的密码清空。这种办法在通常情况下是有效的，特别是对于密码加密算法，是按位加密的。在这些算法中，空密码加密后仍然为空。

如果能将一个管理员的密码设置为空，可能意味着可以使用空密码进入系统，然后借助管理员功能设置新的密码。

2替换式清空式方法简单，但有一定的局限住。例如，有的系统在登录时明确规定密码不能为空，这时该怎么办？其实，可以使用替换法。替换法就是用已知原密码的加密信息覆盖未知原密码的加密信息，从而将未知密码设置