新聞常常看到某些網站被入侵,某些網站的密碼黨被撈走... 等等,但是自己的帳號、密碼有沒有在裡面呢?
簡單說就是查看:密碼是否有被洩漏的服務。
註:密碼檔洩露並不代表馬上會有危險,大多數網站密碼檔都會是加密過,無法反解回來的。不過用暴力法破解的話,時間足夠的話,總會有找出密碼的機會,所以看到記得立刻去更換新密碼。
標籤: security
Linux TCP Flaw 安全性問題的暫時解法
Linux TCP 實作 RFC 5961,但是 RFC 5961 本身設計會導致有安全性問題,而這個影響範圍很廣泛,使用 TCP 都會受到影響,ex: HTTP、FTP、SSH、Telnet、DNS、SMTP ... 等。
黑客的收費參考 - 2016
Git 低於 2.7.1 的安全性問題修正
Git 於 2016/3/17 有發現漏洞,而且問題不小,詳可見:Remote Code Execution in all git versions (client + server) < 2.7.1: CVE-2016-2324, CVE-2016‑2315
Barcode 的攻擊手法、技術
Barcode 在賣場結帳、查詢價格、掃條碼... 到處都會用到,但是安全性問題如何呢?
Oracle 中止更新 Java Plugin
Google Chrome、Mozilla Firefox、Safari、Microsoft Edge 等等都不支援 Java Plugin,Oracle 也宣告放棄維護了。
難以破解又容易記憶密碼的方法
密碼的難易度原則,一般來說都是最少6-8位數以上,英(大小寫)數字混合再加上特殊符號。
這個規則加上去後,然後再強迫大家三個月換一次密碼,再來通常會發生非常可怕的安全性漏洞:「大家都把密碼寫在紙上,貼在牆上或放在抽屜裡。」
好消息是,有南加州大學兩位研究人員發表了一篇論文,介紹了如何產生難以破解又容易記憶的密碼,到底要怎麼做呢?
PHP 使用 SHA256、SHA512 等 演算法的寫法
PHP 有 md5()、sha1() ... 等等 function,不過現在建議使用 SHA224 以上(註),在 PHP 要怎麼寫呢?
註:下述摘錄自此篇:Mobilefish.com - MD5, SHA1, SHA224, SHA256, SHA384, SHA512 and RIPEMD160 hash generator
- MD5 is considered cryptographically broken and is unsuitable for further use.
- The SHA1 algorithm might not be secure enough for ongoing use. It is recommended not to use SHA1.
- SHA224: SHA224 produces a 224-bit (28-byte) hash value, typically rendered as a hexadecimal number, 56 digits long.
- SHA256: SHA256 produces a 256-bit (32-byte) hash value, typically rendered as a hexadecimal number, 64 digits long.
- SHA384: SHA384 produces a 384-bit (48-byte) hash value, typically rendered as a hexadecimal number, 96 digits long.
- SHA512: SHA512 produces a 512-bit (64-byte) hash value, typically rendered as a hexadecimal number, 128 digits long.
- RIPEMD160: RIPEMD160 produces a 160-bit (20-byte) hash value, typically rendered as a hexadecimal number, 40 digits long.
Dyre Wolf 專門針對銀行的惡意軟件
前陣子登入網路銀行,有特別出現下述訊息:
資訊安全提醒:請留意新型惡意軟體”Dyre” 。 按此了解更多。
很難得在銀行看到這種訊息,於是特別研究看看這是什麼東西,沒想到是專門針對銀行的惡意軟體,而且非常專業。
下述摘錄自銀行頁面:Online and mobile security - Standard Chartered Bank Limited
安全警告——針對網上銀行客戶的DYRE惡意軟件
DYRE通常透過含有惡意軟件附件的釣魚電郵感染用戶的電腦,一旦用戶開啟受感染的郵件及附件,惡意軟件就會安裝在用戶的電腦。DYRE可以盜取網上銀行憑證,並在用戶登入網上銀行時置入新畫面欺騙用戶,誘使用戶提供登入名稱、密碼、授權代碼和一次性密碼等個人資料。
如客戶登入網上銀行期間出現任何不尋常情況,請提高警覺。可疑的情況包括:
- 任何經修改的登入流程,彈出式頁面要求輸入個人資料或信用卡資料
- 閣下尚未進行任何交易,但畫面已經要求輸入保安編碼器或手機一次性密碼或保安編碼
- 不尋常的短訊,例如「閣下的賬戶已被暫停,請用另一用戶賬戶登入,以便重新啟動閣下的賬戶」或「為加強安全,請提供更多資料」
- 轉駁至提供熱線電話號碼的第三方網站
如有此類異常情況,務請停止網上銀行操作並立即通知銀行。另外,我們建議切勿開啟可疑郵件或附件,並且以最新版本的除毒軟件定期掃描電腦。請細心閱讀短訊或郵件警告,一旦獲悉有關交易並非閣下進行,請立即聯絡銀行。
好站 - MD5 解碼工具站
MD5、SHA1 .. 等等,都是單向加密工具,是無法解回來的,不過也不是沒辦法,解不回來的話,就乾脆自動產生一堆值過去加密,存入 DB 後,就可以快速查詢(當然不存在就沒
辦法,不過如果存在就很有趣了. XD)
於是就看到這種網站出現:MD5 decrypter - free online MD5 SHA tool - MD5decoder.org
註:此網站不只有 MD5,還有 SHA1, sha256, sha512, crc, base64... 等等,一堆的可以解譯使用。