分类归档: Security

密码提示问题的设计

在公司洗手间看到一个关于“密码提示问题”的笑话。不过仔细一琢磨发现不是这回事儿。电子商务网站几乎都设置密码提示问题的。一个有趣的现象是有些 UE(或交互设计师?反正是干这个活儿的人) 工程师自己都没搞清楚这个 “密码提示问题“ 要给用户什么。

对于 UE 我是门外汉,不过我理解的这个过程就是建立公钥和私钥:公开的密钥即“密码提示问题”,是其他用户也可以看到的),只有自己知道的叫私钥,也就是答案。很明显,既然说到私钥,那么私钥的保护就是关键。设计者有必要引导用户保护好自己的私钥。

我们先看个例子(类似的网站很多,就别说具体哪家了,都那鸟样):

Protect_Questions.png

告诉我,用户需要填入”正确”的还是”错误”的答案?

就这个密码提示问题来说,如果没有直接明白的告诉用户正确的使用方式(你的用意!),那么很多用户还是输入“真实”的答案。除了第一个和第四个问题之外,其他几个问题我想在SNS 网络如此盛行、搜索引擎如此强大的今天,要得到答案是不存在什么障碍的。用户并不傻,但用户也不是都会耍小聪明,如果你去做个统计,我相信会有大量的用户输入的答案是可以猜到的。

或许有人会说,”没事啊,即使别人猜到了这个答案,密码最后也会发到原用户自己的信箱里的啊”。拜托,安全本来就是一环套一环的,这个如果被搞定了,你能确保用户的信箱不会被搞定么?

到各个站点查看帮助说明,发现原易趣的说明还是比较到位的(是否在用户设定问题的时候提示,我就不知道了):

选择一个容易回答但其他人难以猜到答案的问题。
密码提示问题与任何其他机密信息一样重要,所以不要向其他人透露。
为安全起见,可以为问题提供并不正确或答非所问的回答。

前几天白鸦有篇文章《跟着用户走到沟里》,其实很多时候网站是设计者把用户带到沟里。

EOF

验证字(CAPTCHA) 的安全问题

验证字/验证码(CAPTCHA) 最早作为 Carnegie Mellon 大学的一个科研项目,Yahoo! 是CAPTCHA 的第一个用户。 CAPTCHA 这个缩写来自 “Completely Automated Public Turing test to Tell Computers and Humans Apart” ,其目的就是通过用来区分机器与人,其安全性与 SPAM 数量息息相关,一直以来,是此消彼长。

验证字是每一个网站不可回避的一个东西。前几天 Slashdot 上一则题为: Yahoo CAPTCHA Hacked 的消息引起了不少人的震惊。乖乖,精确度能达到 35%!要知道,一直研究 CAPTCHA 有效性的 PWNtcha 项目的评测中,Yahoo! 的验证字几乎是最安全的那种, “A very good captcha, but not always human-solvable”,之前也有 专门针对 Yahoo ! 所用验证字进行破解研究项目,比如 Gimpy

肯定没有 100% 安全的验证字–除非你根本不想让人看明白,在用户可识别性与机器识别之间的平衡是最大的问题,”挑战–响应”,两个环节之间的问题其实也挺微妙。在注册微软的一些服务的时候,验证字很难让人看明白,要多刷新几次才能有个好认的;而一些电子商务的网站,比如 Paypal ,验证字被 PWNtcha 破解的概率是 88% ,这么做应该也是有苦衷的,毕竟要考虑用户体验。

中文网站所使用的验证字机制,个人觉得还没有引起足够的重视。唯一值得一提的是腾讯的 “中文” 验证字算是一个创新(估计是申请专利了),估计能够抵挡住国外 SPAM 的攻击(谁让老外不认识中文呢). 而从我个人的体验上来看,通过机器人发送 SPAM 的大部分来自国外,国内目前处于”手工“ Spam 方式比较多,当然,更为精准。这就是技术的”马奇诺防线“啊!

参考:

EOF

SAMHAIN –支持 AIX 的文件完整性校验系统

文件完整性校验是安全审计必不可少的一个流程。在不同操作系统的数据库服务器上部署 Tripwire 这样的工具是个麻烦事情(前提是使用非商业软件)。在 Linux 服务器上,我以前测试过 integrit ,参见 integrit – Tripwire 的替代品 。如果操作系统是 AIX , 那么 Samhain 可以作为一个替代方案。

在 AIX 5.3 上编译安装后,提示信息值得看看:

 samhain has been configured as follows:
System binaries: /usr/local/sbin
Configuration file: /etc/samhainrc
Manual pages: /usr/local/man
Data: /var/lib/samhain
PID file: /var/run/samhain.pid
Log file: /var/log/samhain_log
Base key: 812826721,276349012

You can use 'samhain-install.sh uninstall' for uninstalling
i.e. you might consider saving that script for future use

Use 'make install-boot' if you want samhain to start on system boot

make install-boot 可以作为启动 daemon 安装.

/etc/samhainrc 是配置文件,可以参考 Samhain 文档 进行配置。之后即可 运行 /usr/local/sbin/samhain -t init -p info 进行数据库初始化。-p 这个参数后面可以跟 warning, cri(critical) 等参数,打印不同级别的信息。Samhain 这个工具唯一让我感觉不好的地方就是文档说明比较晦涩。配置选项什么都还可以,命令行解释连个例子也不给,还需要摸索半天。

命令行说明:
samhain -t check #检查数据库
samhain -t update #更新数据库 -p info 可以看到相关信息

注意配置 /etc/samhainrc 的时候,默认可能是设定了程序作为 Daemon 启动,最好修改一下,否则运行几次,后台一堆 samhain daemon 在跑。

初始化--> 更新 --> 检查--> 列出变更信息

这应该是类似工具的统一使用思路。只是实现细节上略有差异。

现在在这一堆类似的软件中,号称支持 AIX 的就有 Tripwire 开源版本AIDE 等,但是安装编译几乎很难顺利的通过,网上也很少能够找到相关支持信息。对于这几个软件之间的差异,可以参考 Samhain 上的比较表格(注意有的信息可能比较旧了)

EOF

免费杀毒工具 Active Virus Shield (Kaspersky)

我写过一篇 免费杀毒软件与防火墙。现在又多了一个 AOL 发布的 Active Virus Shield
这个工具其实就是简化版的卡巴斯基。卡巴斯基官方媒体介绍说:

Active Virus Shield 是卡巴斯基实验室互联网安全套装 6.0 个人版的 OEM 版本 , 由卡巴斯基实验室开发,由 AOL 免费发放给个人用户。它包含了反病毒功能以及反病毒数据库的升级

旧闻,绝对的旧新闻。只不过最近有一篇什么 全球最佳反病毒软件排行榜在被到处转贴, Active Virus Shield 被排在第二位,第一位就是卡巴斯基。
试用过两天之后觉得不习惯杀毒工具的存在,删掉了。界面和卡巴斯基基本一致。(现在 Windows 安全最大的问题是抵制流氓软件、间谍软件与木马程序。)
另外 Avira AntiVir PersonalEdition Classic 也是可以放心使用的。 微软的 Windows Defender 加上一个免费杀毒工具,家庭用户足矣。
推荐一个精选的免费软件站点:Concise Freeware
EOF