致我们无处安放的“安全感”

【安全手段】

PrivateKey（pwd）

USBkey

手机令牌（动态口令）

短信验证码

证书（OA）

安全协议（SSL、SET）

生物识别

 

黑客手段：

木马记录键盘——从加强场景安全

捕捉屏幕

网络抓包

反编译代码

破解数据库服务器

社会工程学“钓鱼”

 

【可能隐患】

“一次一密”动态口令：最大的困难不只在于大量密钥的生成和管理，成本考虑；

短信验证码漏洞：成本高、GSM短信监测成本日趋低廉、手机木马监听短信的隐患；

USBKey的漏洞：远程控制操作用户电脑；

手机令牌动态口令的漏洞：允许五分钟之内采用相同凭据重复登录；

生物识别的隐患：是一种可能被获取（信息采集如果通过固定签名加密的数据信息传递，甚至不需要3D打印一张脸）、并且不可废止的凭据。

 

【推荐策略】

设定一个密码禁用表，让用户避免使用常见口令

口令安全策略的理想境界，我们可以称为单向、一人一密、一站一密

 

【信息安全名人】

于旸、肖新光

 

后记：

安全威胁就像一个永远不能被抓获的流窜犯，只能被我们赶来赶去，我们对终极解决方案的追求，就像寻找永动机一样可笑，或许就像每个科学工作者心中都有玄学的阴霾。

缺少了解的东西才会让人感到恐惧，难以驾驭的东西才会去崇拜，自认为是捷径的东西才会偏执的去追求。我们对终极解决方案的追求，就像寻找永动机一样可笑。

 

 

 

关键词：

APT防御、0-Day检测、网站脱裤、绿色兵团