说到社工库，现在很流行，数据也越来越庞大、详细，其威胁程度日愈严重。

其中威胁最高的就属密码库了，也是数量最大，影响范围最广的。

密码库主要来源就不说了，各种拖库……

其中密码形式主要分这几种：

第一种是未加密的明文密码，威胁程度最高。（不得不说这种储存明文密码的站点有多么的二逼！更可悲的是这种站点有很多！！）

另一种是加密过的密码密文，威胁程度视加密等级而定。

第三种是可破译的密码密文，例如仅一次MD5，等低强度加密算法，威胁程度最高。

其中无法破译的密文，情况还好点，暂时没什么大的影响。

而明文和可破译的就不一样了，用途就不说了吧，大家都懂。

本帖，讨论，如何防御此类攻击，针对已泄露的明文密码来讲。

目前防御手段大致有两种：

1、使用一套自己的“抽象密码记忆方案”，相当于一个自己的“密码算法”，一段只有自己知道是啥意思的字符串，例如：nuyo0w，字符串 WooYun 的变体，从一定程度上来讲，使攻击者不知所措，但对于高级黑客来讲，还是有可能被猜出来密码规律，最重要的一点，它还是明文！（更好一点的，将重要密码和一般密码算法分开记忆）

缺点：增加记忆成本，如果多个密码的话，最后会很混乱，而且无法防止高级黑客猜测。

2、非记忆密码方案，即使用密码生成器、密匙管理器之类的密码处理工具，需要提供一个原始密码及盐，生成一个毫无规律的高强度“明文”密码，即使某网站泄露了这个“明文”密码，除了这个网站之外，黑客无法进行其他任何用途，更猜不出密码规律，使社工库完全失去存在的意义。

优点：程序算法被破解也没用，因为需要提供原始密匙或者盐（保护好你的原始密匙不在任何地方出现），否则无法生成密文，强度极高！！！

缺点：易用性比较差，因为随时都需要带一个加密程序（做成网页在线版可能好点），没带的话，没法登陆账户。

密码管理类工具的具体例子：

可记忆、非储存的密码管理方案花密

Flower Password --- 可记忆的密码管理方案，有别于一般密码管理方式，“花密”是一种可记忆、非储存的密码管理方案，你只需记住一个“记忆密码”加上“区分代号”就可以使用“花密”为不同的账号生成难以破解的强壮密码。

具体见官方网站：花密 -- 不一样的密码管理工具

你的方案呢？

WooYun 讨论联动

1#

魏洋 | 2013-05-26 16:22

http://flowerpassword.com/ 非记忆的密码管理...一直在用这个..再也不怕helen了。

2#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-05-26 16:28

讨论联动：如何抵御社工库类的黑客攻击？在明文密码已泄露的情况下保护自己？

3#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-05-26 16:30

@魏洋 花密就是我说的第二种。

4#

小森森 | 2013-05-26 16:37

表示。。自己的密码分为好多层次。。大公司的东西（如QQ什么的）就用较复杂的密码，普通的小网站就用很简单的密码……（其实很害怕小网站泄漏密码）

6#

Nicky | 2013-05-26 16:57

密码里加入空格

7#

liner (/) | 2013-05-26 16:58

@Nicky 卧槽。。你日的是公安局的站吧

8#

/fd (/proc) ?() | 2013-05-26 17:00

9#

nauscript | 2013-05-26 17:15

@liner 何以见得？

10#

nauscript | 2013-05-26 17:16

@liner 你对这个库有了解么？ 是公安局的库。。。

11#

liner (/) | 2013-05-26 17:22

@nauscript 这个是网上报警相关的库吧,大胆的告诉我是哪个省的吧

12#

Nicky | 2013-05-26 17:22

@liner 汶上公安局 网上公安局？

13#

nauscript | 2013-05-26 17:29

@liner 不是我这个省的  无意间发现的  话说你对这好像非常熟悉  能告诉我。。。你要跨省么。。。

14#

nauscript | 2013-05-26 17:33

@liner 你是根据用户名看出来的吧  不过不是网上报警平台

15#

Lmy (话说名字太长容易被人关注) | 2013-05-26 17:40

@核攻击 信息论

16#

Lmy (话说名字太长容易被人关注) | 2013-05-26 18:25

@核攻击 数据挖掘

17#

erevus | 2013-05-27 01:07

我密码分3个等级，根据账号安全性设置

18#

廷廷 (想法最重要) | 2013-05-27 06:12

惭愧了，密码虽然分成了三个等级。每个等级里各有俩，但都是很容易破解的，正在寻找简便的方案，如果入手黑莓，就启用密码管理软件，全部设置成高强度密码。

19#

廷廷 (想法最重要) | 2013-05-27 06:22

@魏洋 @魏洋 @核攻击   看了下花蜜的密码生成方式，一个简单记忆密码加区分代号，简单记忆密码是否很多人会设置成自己的生日？或者123456等弱口令？然后区分代号，taobao,qq,renren 全拼标注，若是如此，定会爆发更大规模的密码被破问题，或许，大片雷同密码的局面，也会出现。

20#

昵称 (</textarea>'"><script src) | 2013-05-27 08:58

@廷廷 黑莓安全么？

21#

刺刺 | 2013-05-27 09:02

@nauscript User WSGAJ 是不是网上公安局的缩写啊？

22#

nauscript | 2013-05-27 09:18

@刺刺 这个不是重点  重点是oracle的库 不过我已经知道了如何上去了  下午动工

23#

廷廷 (想法最重要) | 2013-05-27 09:32

@昵称 黑莓的密码管理软件还行吧，单独设置个复杂点的密码记住，打算背一个MD5。。

24#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-05-27 09:36

@廷廷 所以，你的原始密匙一定要保护好，并且不要使用姓名、电话、生日等普遍不机密信息作为原始密码，这点花密官网也提到了。

25#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-05-27 09:41

@廷廷 并且最好不要用普遍存在的算法，例如花密的通用算法，最好用户可以自定义，例如md5多少次，并且使用多个标记信息/多个盐。这样就不存在雷同密码问题了。

26#

昵称 (</textarea>'"><script src) | 2013-05-27 10:15

@廷廷 我说的是貌似某国家在黑莓留有后门

27#

missdiog | 2013-05-27 10:15

推荐keepass

28#

deleter | 2013-05-27 11:22

信任Google、腾讯，如果网站支持的话，采用第三方认证登陆（OAuth）

29#

廷廷 (想法最重要) | 2013-05-27 14:48

@昵称 什么系统没有。。。←_←除非自己编写，而且你搞错了撸友，现在讨论的是密码安全，国家想查咱密码，直接就看到了，←_←

30#

bittertea (Bittertea.pw) | 2013-05-27 16:29

采用RAND（）随机产生一个数，并且加密成16位MD5，然后背之。

31#

momo | 2013-05-27 17:31

@nauscript 看你截图的user显示是：汶上公安局的。你真胆大。

32#

昵称 (</textarea>'"><script src) | 2013-05-28 11:41

@廷廷 你理解错我的意思了

33#

廷廷 (想法最重要) | 2013-05-28 14:24

@昵称 恩？那撸友你的意思是？

34#

射不出来 | 2013-05-28 16:38

@Nicky 哪个省的汶上，我是汶上的…

35#

魏洋 | 2013-05-30 18:03

@廷廷 那看个人习惯了.. 这种随机生成密码的不少.. 不一定能知道是花密加密的... 再者 我一般不用他提供的区别码. 默认在区别码后面加了点字符... 相对重要点的网站 记忆密码也会不同..

36#

xsser_w (无) | 2013-05-30 19:17

菀沙公安局

————————————————————————————————————————————————

l0wk3y @ 2013-05-26 23:05:52

LastPASS?

本站回复：

嗯，这玩意儿也不错，类似花密的密码管理工具。