Tag Archives: Security

密码提示问题的设计

在公司洗手间看到一个关于“密码提示问题”的笑话。不过仔细一琢磨发现不是这回事儿。电子商务网站几乎都设置密码提示问题的。一个有趣的现象是有些 UE(或交互设计师?反正是干这个活儿的人) 工程师自己都没搞清楚这个 “密码提示问题“ 要给用户什么。

对于 UE 我是门外汉,不过我理解的这个过程就是建立公钥和私钥:公开的密钥即“密码提示问题”,是其他用户也可以看到的),只有自己知道的叫私钥,也就是答案。很明显,既然说到私钥,那么私钥的保护就是关键。设计者有必要引导用户保护好自己的私钥。

我们先看个例子(类似的网站很多,就别说具体哪家了,都那鸟样):

Protect_Questions.png

告诉我,用户需要填入”正确”的还是”错误”的答案?

就这个密码提示问题来说,如果没有直接明白的告诉用户正确的使用方式(你的用意!),那么很多用户还是输入“真实”的答案。除了第一个和第四个问题之外,其他几个问题我想在SNS 网络如此盛行、搜索引擎如此强大的今天,要得到答案是不存在什么障碍的。用户并不傻,但用户也不是都会耍小聪明,如果你去做个统计,我相信会有大量的用户输入的答案是可以猜到的。

或许有人会说,”没事啊,即使别人猜到了这个答案,密码最后也会发到原用户自己的信箱里的啊”。拜托,安全本来就是一环套一环的,这个如果被搞定了,你能确保用户的信箱不会被搞定么?

到各个站点查看帮助说明,发现原易趣的说明还是比较到位的(是否在用户设定问题的时候提示,我就不知道了):

选择一个容易回答但其他人难以猜到答案的问题。
密码提示问题与任何其他机密信息一样重要,所以不要向其他人透露。
为安全起见,可以为问题提供并不正确或答非所问的回答。

前几天白鸦有篇文章《跟着用户走到沟里》,其实很多时候网站是设计者把用户带到沟里。

EOF

验证字(CAPTCHA) 的安全问题

验证字/验证码(CAPTCHA) 最早作为 Carnegie Mellon 大学的一个科研项目,Yahoo! 是CAPTCHA 的第一个用户。 CAPTCHA 这个缩写来自 “Completely Automated Public Turing test to Tell Computers and Humans Apart” ,其目的就是通过用来区分机器与人,其安全性与 SPAM 数量息息相关,一直以来,是此消彼长。

验证字是每一个网站不可回避的一个东西。前几天 Slashdot 上一则题为: Yahoo CAPTCHA Hacked 的消息引起了不少人的震惊。乖乖,精确度能达到 35%!要知道,一直研究 CAPTCHA 有效性的 PWNtcha 项目的评测中,Yahoo! 的验证字几乎是最安全的那种, “A very good captcha, but not always human-solvable”,之前也有 专门针对 Yahoo ! 所用验证字进行破解研究项目,比如 Gimpy

肯定没有 100% 安全的验证字–除非你根本不想让人看明白,在用户可识别性与机器识别之间的平衡是最大的问题,”挑战–响应”,两个环节之间的问题其实也挺微妙。在注册微软的一些服务的时候,验证字很难让人看明白,要多刷新几次才能有个好认的;而一些电子商务的网站,比如 Paypal ,验证字被 PWNtcha 破解的概率是 88% ,这么做应该也是有苦衷的,毕竟要考虑用户体验。

中文网站所使用的验证字机制,个人觉得还没有引起足够的重视。唯一值得一提的是腾讯的 “中文” 验证字算是一个创新(估计是申请专利了),估计能够抵挡住国外 SPAM 的攻击(谁让老外不认识中文呢). 而从我个人的体验上来看,通过机器人发送 SPAM 的大部分来自国外,国内目前处于”手工“ Spam 方式比较多,当然,更为精准。这就是技术的”马奇诺防线“啊!

参考:

EOF

年度回顾:这么多的数据泄漏事件

到了年底了,要预防安全事故,数据泄漏更要预防。CSO 杂志列举了 2007 年的 10 大数据泄漏事件。这里有一份比较全的数据泄漏列表。我觉得这个 美农业部数据库漏洞泄漏十五万人资料 其实也很有实力入选年度 10 大,但不知为何没入 CSO 杂志作者法眼。

原以为这些事件都和什么黑客入侵有关的,真实情况倒是大相径庭:有好几个是着了 “社会工程学” 的道儿:光是硬盘、笔记本被盗就有好几个。金庸老先生说了,”重剑无锋,大巧不工”;小平说了,能拿到数据的黑客就是好黑客。光盯着软件的漏洞下手,还不如奔着人下手容易(比如电影《防火墙》里描述的那样)。比如企业内部网络安全固若金汤,那可以盯着他的备份磁盘磁带下手嘛,要不盯着他出差的总裁、CTO 啥的,在机场、火车站偷丫的。所以,如果要黑某个公司的网络,还不如扮作捡垃圾的,每天检查一下这个公司的废纸。扯远了…

DBA 们,一起来评选一下咱国内的 10 大数据泄漏事件吧? 不过,我好像一个都没听说过,虽说,好事不出门,坏事传千里,可谁让咱报喜不报忧呢。

EOF

DBA 还要人品好?

有感而发。从 ITToolBox 上一则 Blog 看到这个文章:一位 DBA 涉嫌盗取了 230 万客户资料。其中 220 万是银行账户资料,9.9 万条是信用卡记录。不知道这位一时想不开的 DBA 最后是否获罪。如果在国内,可能问题不大,教育教育罚点款就差不多无事了,在美国可不好说了,弄不好要关个几年,个人信用估计也将受到影响。

做个 DBA 可不容易,不但要技术好,还要人品好,能顶得住不义之财的诱惑(有没有什么公司提供高薪养廉的机制?)。莫伸手,伸手必被捉。

这种来自公司内部的威胁其实挺多的,最近《二十一世纪经济报道》上也有文章说的是类似的事情:危险的后门:内部”黑手”探囊安全网络

EOF