分类归档: Security

密码提示问题的设计

在公司洗手间看到一个关于“密码提示问题”的笑话。不过仔细一琢磨发现不是这回事儿。电子商务网站几乎都设置密码提示问题的。一个有趣的现象是有些 UE(或交互设计师？反正是干这个活儿的人) 工程师自己都没搞清楚这个 “密码提示问题“ 要给用户什么。

对于 UE 我是门外汉，不过我理解的这个过程就是建立公钥和私钥：公开的密钥即“密码提示问题”，是其他用户也可以看到的)，只有自己知道的叫私钥，也就是答案。很明显，既然说到私钥，那么私钥的保护就是关键。设计者有必要引导用户保护好自己的私钥。

我们先看个例子(类似的网站很多，就别说具体哪家了，都那鸟样)：

告诉我，用户需要填入”正确”的还是”错误”的答案?

就这个密码提示问题来说，如果没有直接明白的告诉用户正确的使用方式(你的用意!），那么很多用户还是输入“真实”的答案。除了第一个和第四个问题之外，其他几个问题我想在SNS 网络如此盛行、搜索引擎如此强大的今天，要得到答案是不存在什么障碍的。用户并不傻，但用户也不是都会耍小聪明，如果你去做个统计，我相信会有大量的用户输入的答案是可以猜到的。

或许有人会说，”没事啊，即使别人猜到了这个答案，密码最后也会发到原用户自己的信箱里的啊”。拜托，安全本来就是一环套一环的，这个如果被搞定了，你能确保用户的信箱不会被搞定么?

到各个站点查看帮助说明，发现原易趣的说明还是比较到位的(是否在用户设定问题的时候提示，我就不知道了)：

选择一个容易回答但其他人难以猜到答案的问题。
密码提示问题与任何其他机密信息一样重要，所以不要向其他人透露。
为安全起见，可以为问题提供并不正确或答非所问的回答。

前几天白鸦有篇文章《跟着用户走到沟里》，其实很多时候网站是设计者把用户带到沟里。

–EOF–

验证字(CAPTCHA) 的安全问题

验证字/验证码(CAPTCHA) 最早作为 Carnegie Mellon 大学的一个科研项目，Yahoo! 是CAPTCHA 的第一个用户。 CAPTCHA 这个缩写来自 “Completely Automated Public Turing test to Tell Computers and Humans Apart” ，其目的就是通过用来区分机器与人，其安全性与 SPAM 数量息息相关，一直以来，是此消彼长。

验证字是每一个网站不可回避的一个东西。前几天 Slashdot 上一则题为： Yahoo CAPTCHA Hacked 的消息引起了不少人的震惊。乖乖，精确度能达到 35%！要知道，一直研究 CAPTCHA 有效性的 PWNtcha 项目的评测中，Yahoo! 的验证字几乎是最安全的那种, “A very good captcha, but not always human-solvable”，之前也有专门针对 Yahoo ! 所用验证字进行破解研究项目，比如 Gimpy。

肯定没有 100% 安全的验证字–除非你根本不想让人看明白，在用户可识别性与机器识别之间的平衡是最大的问题，”挑战–响应”，两个环节之间的问题其实也挺微妙。在注册微软的一些服务的时候，验证字很难让人看明白，要多刷新几次才能有个好认的；而一些电子商务的网站，比如 Paypal ，验证字被 PWNtcha 破解的概率是 88% ，这么做应该也是有苦衷的，毕竟要考虑用户体验。

中文网站所使用的验证字机制，个人觉得还没有引起足够的重视。唯一值得一提的是腾讯的 “中文” 验证字算是一个创新(估计是申请专利了)，估计能够抵挡住国外 SPAM 的攻击(谁让老外不认识中文呢). 而从我个人的体验上来看，通过机器人发送 SPAM 的大部分来自国外，国内目前处于”手工“ Spam 方式比较多，当然，更为精准。这就是技术的”马奇诺防线“啊！

参考：

CAPTCHA 官方站点: http://www.captcha.net/
PWNtcha 项目: http://sam.zoy.org/pwntcha/
Captcha @ WikiPedia: http://en.wikipedia.org/wiki/Captcha
更为安全的 reCAPTCHA: http://recaptcha.net/

–EOF–

SAMHAIN –支持 AIX 的文件完整性校验系统

文件完整性校验是安全审计必不可少的一个流程。在不同操作系统的数据库服务器上部署 Tripwire 这样的工具是个麻烦事情(前提是使用非商业软件)。在 Linux 服务器上，我以前测试过 integrit ，参见 integrit – Tripwire 的替代品。如果操作系统是 AIX , 那么 Samhain 可以作为一个替代方案。

在 AIX 5.3 上编译安装后，提示信息值得看看：

 samhain has been configured as follows:
     System binaries: /usr/local/sbin 
  Configuration file: /etc/samhainrc 
        Manual pages: /usr/local/man 
                Data: /var/lib/samhain 
            PID file: /var/run/samhain.pid 
            Log file: /var/log/samhain_log 
            Base key: 812826721,276349012

   You can use 'samhain-install.sh uninstall' for uninstalling
  i.e. you might consider saving that script for future use

  Use 'make install-boot' if you want samhain to start on system boot

make install-boot 可以作为启动 daemon 安装.

/etc/samhainrc 是配置文件，可以参考 Samhain 文档进行配置。之后即可运行 /usr/local/sbin/samhain -t init -p info 进行数据库初始化。-p 这个参数后面可以跟 warning, cri(critical) 等参数，打印不同级别的信息。Samhain 这个工具唯一让我感觉不好的地方就是文档说明比较晦涩。配置选项什么都还可以，命令行解释连个例子也不给，还需要摸索半天。

命令行说明：
samhain -t check #检查数据库
samhain -t update #更新数据库 -p info 可以看到相关信息

注意配置 /etc/samhainrc 的时候，默认可能是设定了程序作为 Daemon 启动，最好修改一下，否则运行几次，后台一堆 samhain daemon 在跑。

初始化--> 更新 --> 检查--> 列出变更信息

这应该是类似工具的统一使用思路。只是实现细节上略有差异。

现在在这一堆类似的软件中，号称支持 AIX 的就有 Tripwire 开源版本、AIDE 等，但是安装编译几乎很难顺利的通过，网上也很少能够找到相关支持信息。对于这几个软件之间的差异，可以参考 Samhain 上的比较表格(注意有的信息可能比较旧了)

–EOF–

免费杀毒工具 Active Virus Shield (Kaspersky)

我写过一篇免费杀毒软件与防火墙。现在又多了一个 AOL 发布的 Active Virus Shield 。
这个工具其实就是简化版的卡巴斯基。卡巴斯基官方媒体介绍说:

Active Virus Shield 是卡巴斯基实验室互联网安全套装 6.0 个人版的 OEM 版本 , 由卡巴斯基实验室开发，由 AOL 免费发放给个人用户。它包含了反病毒功能以及反病毒数据库的升级

旧闻，绝对的旧新闻。只不过最近有一篇什么全球最佳反病毒软件排行榜在被到处转贴, Active Virus Shield 被排在第二位，第一位就是卡巴斯基。
试用过两天之后觉得不习惯杀毒工具的存在，删掉了。界面和卡巴斯基基本一致。(现在 Windows 安全最大的问题是抵制流氓软件、间谍软件与木马程序。)
另外 Avira AntiVir PersonalEdition Classic 也是可以放心使用的。微软的 Windows Defender 加上一个免费杀毒工具,家庭用户足矣。
推荐一个精选的免费软件站点：Concise Freeware
–EOF–