WEB應(yīng)用開(kāi)發(fā)中的安全算法使用策略.ppt

WEB應(yīng)用開(kāi)發(fā)中的安全算法使用策略,安天實(shí)驗(yàn)室2012-2-20,2020/5/31,創(chuàng)造安全每一天,第2頁(yè),自我介紹,姓名:童志明簡(jiǎn)介:ASM/C/C+程序員，專(zhuān)科肄業(yè)，自學(xué)未成才職務(wù):目前任安天反病毒引擎研發(fā)中心總經(jīng)理Mail:andy,2020/5/31,創(chuàng)造安全每一天,第3頁(yè),演講內(nèi)容,背景介紹我們所面臨的威脅那些錯(cuò)誤的實(shí)現(xiàn)安全算法使用策略結(jié)束,2020/5/31,創(chuàng)造安全每一天,第4頁(yè),背景介紹,關(guān)于演講中的名詞說(shuō)明以及泄密事件的背景,2020/5/31,創(chuàng)造安全每一天,第5頁(yè),背景介紹名詞相關(guān),HASH:簡(jiǎn)單的說(shuō)就是一種將任意長(zhǎng)度的消息壓縮到某一固定長(zhǎng)度的消息摘要。加密/密文:把口令變換的過(guò)程稱(chēng)為加密，以及把口令變換后的結(jié)果稱(chēng)為密文并不科學(xué)，但卻是公眾所能理解的。計(jì)算速度:關(guān)于HASH的計(jì)算速度，本文所指的是單位時(shí)間內(nèi)的計(jì)算次數(shù),2020/5/31,創(chuàng)造安全每一天,第6頁(yè),背景介紹泄密事件,2020/5/31,創(chuàng)造安全每一天,第7頁(yè),我們所面臨的威脅,我們所面臨的安全威脅,2020/5/31,創(chuàng)造安全每一天,第8頁(yè),威脅無(wú)處不在安全是一個(gè)整體,在當(dāng)前0day橫行的時(shí)代，幾乎沒(méi)有網(wǎng)站和應(yīng)用可以絕對(duì)保證自己數(shù)據(jù)庫(kù)系統(tǒng)的安全,2020/5/31,創(chuàng)造安全每一天,第9頁(yè),威脅無(wú)處不在信息的二次利用,信息被盜后，攻擊者會(huì)對(duì)信息進(jìn)行二次利用,2020/5/31,創(chuàng)造安全每一天,第10頁(yè),那些錯(cuò)誤的實(shí)現(xiàn),在泄密事件發(fā)生后我們聽(tīng)到了各種各樣的聲音,2020/5/31,創(chuàng)造安全每一天,第11頁(yè),那些錯(cuò)誤的實(shí)現(xiàn)使用標(biāo)準(zhǔn)HASH算法,不合理但比較靠譜的實(shí)現(xiàn)如何應(yīng)對(duì)統(tǒng)計(jì)攻擊?,2020/5/31,創(chuàng)造安全每一天,第12頁(yè),那些錯(cuò)誤的實(shí)現(xiàn)使用標(biāo)準(zhǔn)HASH算法,不合理但比較靠譜的實(shí)現(xiàn)如何應(yīng)對(duì)高頻碰撞?,2020/5/31,創(chuàng)造安全每一天,第13頁(yè),那些錯(cuò)誤的實(shí)現(xiàn)聯(lián)合使用HASH,與使用標(biāo)準(zhǔn)HASH算法相同如何應(yīng)對(duì)彩虹表?,2020/5/31,創(chuàng)造安全每一天,第14頁(yè),那些錯(cuò)誤的實(shí)現(xiàn)聯(lián)合使用HASH,彩虹表生成器,2020/5/31,創(chuàng)造安全每一天,第15頁(yè),那些錯(cuò)誤的實(shí)現(xiàn)自己設(shè)計(jì)算法,如果保證HASH的均勻性？HashCollisionDoS（通過(guò)Hash碰撞進(jìn)行的拒絕式服務(wù)攻擊）,引自安天2010.03基于內(nèi)存對(duì)象對(duì)26種HASH方法的測(cè)試結(jié)果,2020/5/31,創(chuàng)造安全每一天,第16頁(yè),那些錯(cuò)誤的實(shí)現(xiàn)慢速HASH,慢速HASH能有多慢?無(wú)法解決上述的問(wèn)題！,2020/5/31,創(chuàng)造安全每一天,第17頁(yè),安全算法使用策略,使用正確的設(shè)計(jì)方案、正確的算法是我們所需要的,2020/5/31,創(chuàng)造安全每一天,第18頁(yè),安全算法使用策略APM介紹,慎用,介紹,算法RSA、SHA256基于現(xiàn)有開(kāi)源包的算法合理應(yīng)用的示例，不是算法實(shí)現(xiàn)也不是新算法。一用戶(hù)一鹽個(gè)性化量(用戶(hù)名)鹽表同行經(jīng)驗(yàn)（UID、注冊(cè)時(shí)間）提供還原模式，不建議采用。最無(wú)奈“一號(hào)通”無(wú)解,資源,開(kāi)源,2020/5/31,創(chuàng)造安全每一天,第19頁(yè),安全算法使用策略為什么要使用標(biāo)準(zhǔn)算法,標(biāo)準(zhǔn)的算法是公開(kāi)的標(biāo)準(zhǔn)的算法其合理性是經(jīng)過(guò)科學(xué)驗(yàn)證的有些問(wèn)題不是算法的問(wèn)題，是如何合理使用的問(wèn)題,2020/5/31,創(chuàng)造安全每一天,第20頁(yè),安全算法使用策略如何應(yīng)對(duì)密文攻擊,攻擊者掌握的資源-計(jì)算速度-計(jì)算資源,2020/5/31,創(chuàng)造安全每一天,第21頁(yè),安全算法使用策略如何應(yīng)對(duì)密文攻擊,常態(tài)速度,GPU加速之后,引自安天2010.03基于內(nèi)存對(duì)象對(duì)26種HASH方法的測(cè)試結(jié)果,2020/5/31,創(chuàng)造安全每一天,第22頁(yè),安全算法使用策略如何應(yīng)對(duì)密文攻擊,現(xiàn)有的攻擊手段,2020/5/31,創(chuàng)造安全每一天,第23頁(yè),安全算法使用策略如何應(yīng)對(duì)密文攻擊,為什么要使用鹽?,2020/5/31,創(chuàng)造安全每一天,第24頁(yè),安全算法使用策略如何應(yīng)對(duì)密文攻擊,當(dāng)用戶(hù)首次提供密碼時(shí)（通常是注冊(cè)時(shí)），由系統(tǒng)自動(dòng)往這個(gè)密碼里加入SALT，然后再散列。而當(dāng)用戶(hù)登錄時(shí)，系統(tǒng)為用戶(hù)提供的代碼撒上同樣的SALT，然后散列，再比較散列值，已確定密碼是否正確。,2020/5/31,創(chuàng)造安全每一天,第25頁(yè),安全算法使用策略如何應(yīng)對(duì)密文攻擊,APM示意圖,2020/5/31,創(chuàng)造安全每一天,第26頁(yè),安全算法使用策略鹽的使用,單一SALT一站一鹽一用戶(hù)一鹽,2020/5/31,創(chuàng)造安全每一天,第27頁(yè),其它策略APM中的KC,隨著互聯(lián)網(wǎng)web2.0網(wǎng)站的興起，非關(guān)系型的數(shù)據(jù)庫(kù)現(xiàn)在成了一個(gè)極其熱門(mén)的新領(lǐng)域，非關(guān)系數(shù)據(jù)庫(kù)產(chǎn)品的發(fā)展非常迅速。如果閱讀過(guò)APM代碼，你會(huì)發(fā)現(xiàn)實(shí)現(xiàn)中沒(méi)有使用SQL而是用的KyotoCabinet,2020/5/31,創(chuàng)造安全每一天,第28頁(yè),其它策略常見(jiàn)口令規(guī)避,上述的所有問(wèn)題中，“一號(hào)通”是最無(wú)奈的,2020/5/31,創(chuàng)造安全每一天,第29頁(yè),其它策略常見(jiàn)口令規(guī)避,常態(tài)“一號(hào)通”檢查高頻密碼、已泄漏密碼提示動(dòng)態(tài)均衡(亦有弊端),2020/5/31,創(chuàng)造安全每一天,第30頁(yè),其它策略運(yùn)維,不要把雞蛋放在一個(gè)籃子里