- 1、本文档共32页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
目录 一、避免密码泄露 二、泄露账号风险控制措施 密码存储安全、密码传输安全 防批量登录与余额查询、风险账号检测、控制盗号转出 防盗号财产转移 是否被盗账号 特征是否异常 (IP、Cookie等) 交易类型 (赠送他人,购买可转移的物品等) 是否风险交易 交易成功 要求进行补充验证 (手机、邮箱、资料等) 防盗号财产转移——技术实现 其他基础服务(IP库等) 特征计算引擎 风控策略规则引擎 业务数据 用户行为习惯服务 风控结果查询审计系统 数据采集模块 中间数据 (黑白名单库等) 防盗号财产转移 最终主要的瓶颈在于覆盖率与准确率之间的平衡。 覆盖率 准确率 Thank You! 大规模互联网用户密码泄露风险控制对策 吴锐 2012-03-16 作者简介 吴锐 盛大风险控制部经理。 毕业于清华大学,2005年加入腾讯安全中心,在账号安全体系建设、打击垃圾广告、欺诈消息等方面成果显著。在盛大期间,先后担任资深安全架构师,风险控制部高级经理。通过创新风险控制方式,很好的控制了木马盗号、外部账号泄露盗号、针对盛大的网银钓鱼欺诈、网银木马欺诈等风险。在账号安全体系建设、安全评估、安全架构、欺诈检测、账号安全、支付安全等领域有着丰富的经验。 mail:wurui@ wr.mail@ 微博:/wurui82 QQ Tel目录 一、避免密码泄露 二、已泄露账号风险控制措施 密码存储安全、密码传输安全 防批量登录与余额查询、风险账号检测、控制盗号转出 背景 过去的一年,上亿被泄露账号在互联网上被公开下载,互联网用户账号密码泄露,已不再是一个公司的问题,而是整个互联网行业必须共同面对的问题。 如何防范? 密码存储安全 确保存储用户账号密码的服务器固若金汤。永远不被入侵者攻破。 使用一套合理的密码存储算法,使得即使数据泄露,也无法获取到用户密码。 密码存储安全——简单摘要算法 Hash=md5(Password) Hash=sha1(Password) 通过md5/sha1这样的摘要算法处理后存储,曾经被认为是安全的密码存储与校验方式,但很快就被证明不安全。 1、用户使用的密码长度是很有限的,可以把大部分密码对应的md5事先计算好存入db,知道摘要后的串后,只需要查表(彩虹表)即可得到明文。 所需空间:数T硬盘(成本很低) 所需时间:一个密码20ms左右 2、md5碰撞,目前对密码校验还不是问题,但今后可能越来越不安全。 密码存储安全 对用户的密码分布情况进行统计: 密码为6位和7位的用户超过50% 8-10位密码中有50%左右的用户密码为纯数字 其他较长的密码,也大多数是一些常用单词和字符串的组合。 密码存储安全——加盐后再摘要 UserName Id Salt Hash Tony 1 WtXccU12V e10adc3949ba59abbe56e057f20f883e Kitty 2 KIffs3TeF c0a27f801162b8b862cd5f5a1a66e85a Hash=md5(Password+Salt) Salt为随机生成的字符串 ?phpfunction hash($salt,$a) {??? $b=$a.$salt;? //把密码和salt连接??? $b=md5($b);? //执行MD5散列 ??? return $b;? //返回摘要后的值?? ??}? Discuz等开源系统采类似的密码保存方法。 这种方式比只进行摘要算法后保存安全,但通过暴力破解,还是可以还原用户密码中绝大部分。 密码存储安全——暴力破解加盐后的摘要算法 ATI HD5870:约2400M/s? ???MD5约795M/s? ?? ?SHA1 ATI HD4850:约980M/s? ?? ?MD5约305M/s? ?? ?SHA1 nVidia GTX260/192SP:约550M/s? ?? ?MD5约175M/s? ?? ?SHA1 CPU 大约100M/s MD5 七位数字密码组合:36^7= 78364164096 10^10= 10000000000 如果用户密码数据库发生了泄露, 即使不采用任何简化方法,一台电脑暴力破解一个7位小写字母+数字密码或10位纯数字密码所需时间都不超过10分钟。 密码存储安全——更安全的做法 (一)注册过程 客户端: 服务器端
您可能关注的文档
- 大理白族人生礼仪服饰初探-服饰导刊.pdf
- 大白菜叶片长宽性状的QTL定位-中国蔬菜.pdf
- 大脑中动脉M2段急性闭塞机械取栓临床疗效评价-中国卒中杂志.pdf
- 大车前与平车前营养器官的比较解剖学研究-广西植物.pdf
- 大连律师协会制止律师执业不正当竞争规则.doc
- 大野城开发行为等指导要纲.doc
- 大阪环境影响评价评似条例.pdf
- 大鼠容量超负荷性心肌肥厚时cAMP-西安交通大学学报医学版.pdf
- 天兆控股简介天兆控股是一家以优质种猪养殖及肉类食品生产加工和.doc
- 天津先进社会组织和先进社会组织工作者评比表彰工作领导.doc
- 医学研究统计方法综合运用与结果表达03医学论文中常见统计学错误.pptx
- 医学代谢组学技术与研究系列讲座02ROC曲线分析.pptx
- 冰雪舞蹈与数字媒体艺术的结合论文.docx
- 2025年摄影师(初级)职业技能鉴定试卷:摄影作品版权登记与保护.docx
- 2025年事业单位教师招聘政治学科专业知识试卷(政治思想).docx
- 2025年日语能力测试N2级阅读专项试卷:日语阅读与语法巩固.docx
- 2025年西班牙语DELEC9级口语实战试卷:2025年备考策略.docx
- 2025年无损检测员(中级)无损检测行业标准试卷.docx
- 2025年高考文学类文本阅读(小说)复习.pdf
- 2025年医保知识考试题库及答案(医保谈判药品价格谈判)试卷.docx
文档评论(0)