几种“超强壮”的弱密码方案

“111111”、“123456”等密码，是业内公认的典型弱密码。为用户的账号安全，检查用户设置密码的安全强度，并拒绝用户设置弱密码，已经是网络服务供应商普遍采用的最基础的安全策略。

在各种各样的网络应用已经深度浸入百姓生活的今天，记住十几、二十个强密码对于绝大多数的普通网民而言，基本就是一个不可完成的任务。下面是几种“超强壮”的弱密码安全方案。

在介绍这几种“超强壮”的弱密码安全方案之前，先介绍一下ICCID码。

ICCID：Integrate circuit card identity 集成电路卡识别码即SIM卡卡号，相当于手机号码的身份证。 ICCID为IC卡的唯一识别号码，共有20位数字组成，其编码格式为：XXXXXX 0MFSS YYGXX XXXX。分别介绍如下：前六位运营商代码：中国移动的为：898600；898602；898604 ，中国联通的为：898601、898606、898609，中国电信898603。

简单讲ICCID码就是手机SIM卡的唯一身份标识。每个手机号码，都附着在一张手机SIM卡上。手机号码同ICCID码关系的真值表是：

相同的ICCID码对应着相同的手机号码。

不同的ICCID码，既可能是相同的电话号码，也可能是不同的电话号码。

不同的手机号码，一定对应着不同的ICCID码。

以手机SIM卡的ICCID码和手机的机身的IMEI号为认证标的，就可以构成一个移动终端的认证数据链。其认证真值表如下：

验证结果1：ICCID码，不变；IMEI号，不变；验证含义：手机号码不变、手机不变。

验证结果2：ICCID码，变；IMEI号，不变；验证含义：手机号码可能变、手机不变。

验证结果3：ICCID码，不变；IMEI号，变；验证含义：手机号码不变、手机变。

验证结果4：ICCID码，变；IMEI号，变；验证含义：手机号码可能变、手机变。

一般而言，网络应用的账号密码被盗，多出现验证结果4.

方案1：弱密码+ICCID码

应用场景：所有移动互联网应用客户端软件。

移动互联网应用客户端软件（APP）都是安装在手机端，且同手机号码直接关联。对绝大多数的APP而言，手机号码就是登录账号。使用“弱密码+ICCID码”的密码方案，等效于将弱密码同电话号码进行了绑定，从而构成了一个认证链。这个认证链的长度，最少就是21（1+20）位数据长度，既一个长度的弱密码+20位的ICCID码。

使用方法就是，APP进行登录时，送到服务器端的验证信息，除了用户登录时，输入的登录密码，还包括APP读取到的手机SIM卡的ICCID码。

安全强度分析：

对于绝大多数的用户而言，记住有限几位的弱密码即可。对服务器而言，则是最少21位数据长度的超强密码。

扩展使用：

验证短信是高安全强度应用中，经常使用的一个验证手段。

对于验证短信攻击现有的成熟方法有三大类：盗号病毒、诈骗攻击、短信嗅探术。其中短信嗅探术自诞生以来，业内到目前为止，并未找到很好的应对办法。

“验证短信+ICCID码”既APP上报短信验证码时，同时上报ICCID码，则可以有效对抗短信嗅探、诈骗攻击。特别需要说明的是，只骗取验证码的诈骗攻击，对于对网络安全认知越少的人越有效。而对于需要骗取“验证短信+ICCID码”的诈骗攻击，则对于对网络安全认知越少的人越无效。

对于盗号病毒，则提高了攻击方的攻击成本。因为对于采用“验证短信+ICCID码”短信验证方案的APP而言，攻击方需要做另外的外部接口或更改系统端的读取ICCID码的函数，使得更改后APP能够从“他处”读取或输入的ICCID码。而这种更改APP或系统函数的行为，无疑增大了攻击方攻击难度和暴露的风险。

注：所谓的诈骗攻击，就是骗子利用各种话术骗取验证码。

本方案的使用注意事项：

本方案只能用于安卓手机或鸿蒙系统手机，苹果手机暂时不能用。因为苹果手机系统目前不对第三方开放读取ICCID码的函数。换而言之，在苹果手机上，APP无法读取ICCID码。而如果在苹果手机上同样采用ICCID码作为验证标的，则必然需要构建一个ICCID码的输入接口。这就大大降低了ICCID码作为验证标的的安全性。

方案2：电脑端的扩展应用

应用场景：电脑端登录、验证应用。

任何一个网络应用，一般都有电脑端和手机端。方案1只是的应用场景为手机端。方案2-1和方案2-2是两个“弱密码+ICCID码”在电脑端使用的基础性方案。

方案2-1：联网性扫码登录。

手机端APP扫电脑端的登录二维码，将登录信息（“登录密码+ICCID码”）送到服务器，完成登录。

方案2-2：非联网性扫码登录。

用户在手机端APP上输入登录账号、密码，手机APP以登录账号、密码、ICCID码，生成加密状态的登录数据串或登录二维码，用户将登录数据串输入到电脑端的登录界面或用电脑端的摄像头读取登录二维码。

需要特别注意的是，在方案2-2中为防止手机端操作系统或手机APP上的安全漏洞对登录过程信息的窃取、远程操控，手机APP在启动前，需先关闭所有的手机网络功能，既关闭手机流量、WiFi、蓝牙等所有网络功能，从而使得手机APP在没有网络功能的工作环境下运行。如果手机APP在启动时，检测到手机还处于联网状态，则拒绝工作直到用户关闭所有的网络功能为止。同时为了防止手机中的病毒对敏感数据（如账号、登录密码）的盗取，可将这些敏感数据的明文输入，分布到电脑端和手机端分别输入。比如登录账号，在电脑端输入一部分，手机端输入一部分，或者在服务器在电脑端显示一些数据，让用户将这些数据输入到手机APP上。这样即使手机中毒度，也只能获得一部分的账号信息，而无法获得全部登录账号信息。

方案2-2最大的安全优点就是，可以对服务器进行反向验证。换而言之，困扰业内多年的钓鱼网站，在方案2-2中将无法遁形。困扰业界多年的撞库攻击也将失效。

方案优点：

方案1同现行的所有目前业内普遍采用的多因子认证方案相比，独有的方案优点就是：

优点1：ICCID码长度够长，使用灵活。ICCID码既可以当做登录“密码”使用，也可以当成秘钥使用，更可以当成某种算法的运算参数使用。

优点2：隐蔽性极佳。ICCID码的获取只有三个途径：途径1：运营商处获得。途径2：设备读取。途径3：手机SIM卡背后读取。对于攻击方而言，通过途径1、途径2对攻击方而言，都意味着相当大的获得风险和获得成本。而途径3获得，则攻击方必然是被攻击者身边亲近之人。这就大大增加了攻击成功后攻击人暴露的概率。

优点3：不可抵赖性。

ICCID码的唯一性和隐蔽性，使得以ICCID码为验证因子的多因子验证法，具有同业内普遍采用的多因子验证法，具有极高的不可抵赖性。目前业内普遍采用的多因子验证法所锁定的验证标的，泄露途径无数。这就使得网络应用账号被盗后很难从被盗的验证因子倒推出 “被盗”账号是真的“被盗”还是账号持有人同外人勾结的“自盗”。

优点4：反制成本低。

身份证号码、电话号码、IMEI号、MAC码等，是有安全要求等级（如网银、微信、支付宝等）的网络应用所采用的多因子验证法中必然需要验证的验证因子。这些验证因子的基本特征是稳定性极强，用户主动变更成本极高。如果以手机SIM卡的ICCID码作为多因子验证法的验证因子，则用户的变更成本基本上为“0”。以移动用户为例，一年可免费换4次新卡。而这种换卡特性，就给攻击方带来极大的不确定性，无形中大幅增加了攻击成本。

方案2-2具有的独有优点是：

优点1：整个操作过程，必然包含着人的操作动作。

现在所有的登录操作，都有一个验证码的操作过程。这个一个操作过程的目的就是为了区分当时的操作人是人还是“机器人”。采用方案2-2的网络应用，在登录的过程中，永远都不要再担心进行登录操作的机器人。

优点2：采用方案2-2的用户永远都不用记登录密码。任何以获取登录密码、登录验证码为目的的诈骗攻击都将失效。

优点3：提供方案2-2的网络应用，采用方案2-2的用户，都将远离撞库攻击的潜在威胁。

优点4：手机端上操作系统现在、未来的安全漏洞，对手机端的登录APP都将失去任何威胁。

优点5：同传统的安全策略相比，方案2-2的安全策略对于用户而言，简单、粗暴但最富有成效，那就是，只要用户将安装了登录APP的手机，永远不联网，任何病毒就都不能进入，即使进入了也无法盗取全部的敏感数据。盗取到的碎片化的铭感数据，也无法传出。

优点6：方案2-2是目前在公开渠道上能看到的唯一可同时满足由中国人民银行于2019年9月27日发布、实施的《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019）的“认证信息安全、密码的设定与重置、逻辑安全设计、风险控制、组件安全、接口安全、抗攻击能力、数据安全、数据核销”等9项安全要求的安全方案。简单讲，采用方案2-2的网络应用，其终端侧的安全强度，在不用考虑终端侧的核心敏感数据泄露、键盘被人监控、操作系统安全漏洞修补、应用系统安全漏洞修补等众多安全问题的情况下，即可达到移动金融客户端需要达到的安全强度。这个安全强度，应该是在等宝2.0的三到四级安全强度。

几种“超强壮”的弱密码方案相关推荐

现代密码学2.2、2.3--由“一次一密”引出具有完美安全的密码方案共同缺点
现代密码学2.2.2.3--由"一次一密/One-Time Pad"引出具有完美安全的密码方案共同缺点 One-Time Pad密码方案定义正确性/correctness 完美 ...
介绍一种门限SM2密码方案
中科院信息工程研究所的科研人员林璟锵.马原.荆继武等设计了一种 SM2 门限密码算法实现方案,他们在 2014 年 8 月向国家知识产权局提交了专利申请,名称是<适用于云计算的基于SM2算法的签 ...
腾讯云快直播——超低延迟直播技术方案及应用
正文字数:4361 阅读时长:7分钟随着直播业务的发展,在线教育,连麦直播.赛事直播等高实时性直播场景的出现,用户对于直播流畅度.低延迟等性能的要求愈加严苛.腾讯云直播技术高级工程师陈华成从5G ...
伤感网络验证系统_网络攻防演练中弱密码安全治理的几点建议
在一次网络安全攻防演习中,由弱口令导致的攻击事件实在令人心惊胆战.弱密码.空密码.内置及明文密码等逐一被挖掘出来.涉及不乏有企业重要业务系统以及核心基础设施的账号安全问题.对此,总结了一些小的建议和大 ...
linux镜像修改密码,OpenStack 镜像修改密码方案
现在各大linux厂商,其实已经有专门给openStack提供的镜像,不过国内的朋友,不太习惯老外做镜像的方式,经常问密码是多少.本博客提供几种修改密码方案,仅供参考. 前言对OpenStack云主 ...
python审计ssh_代码分享：用Python编写的多协议弱密码审计工具集
前几天与大家分享了我自己用C++实现的用于企业内部环境的ssh弱密码审计工具.在实际的工作中,我们还需要对多种常见的协议定期进行弱密码审计.为了灵活地适应企业内部复杂的网络环境,以及领导希望稳定可控的 ...
mysql暴力撞库与弱密码检测
暴力撞库与弱密码检测最近在生产数据库上碰到了一个问题,觉得挺有意思,总结出来和大家分享下. 关于暴力撞库和弱密码检测. 相信使用数据库的大家应该都不陌生,暴力撞库,简单通俗的讲通过一堆生成的密码,然 ...
一种全新的智能远程施工方案被提出——无线图传+远程控制方案
建设高速公路或地铁线路的过程中有时需要挖掘隧道.如何在保证安全的前提下,提升隧道挖掘的质量和建设的速度,是施工建设方普遍关心的问题. 黑科技?无线图传+远程控制山地隧道建设面临环境复杂.不易布线.爆 ...
python破解压缩密码.穷举.或弱密码
2022-12-13 python穷举破解与效率 python破解压缩文件 python破解zip pyton穷举破解压缩包 zip用的相对多点,没研究其他的,本来想找来直接拷贝的,结果还是花了时间自 ...
AI中台：一种敏捷的智能业务支持方案|宜信技术学院沙龙分享实录
内容来源:宜信技术学院第1期技术沙龙-线上直播|AI中台:一种敏捷的智能业务支持方案主讲人介绍:井玉欣宜信技术研发中心AI应用团队负责人本文字数:13479字阅读用时:34分钟导读:随着&q ...

几种“超强壮”的弱密码方案

几种“超强壮”的弱密码方案相关推荐

最新文章

热门文章