標籤: security

難以破解又容易記憶密碼的方法

密碼的難易度原則,一般來說都是最少6-8位數以上,英(大小寫)數字混合再加上特殊符號。

這個規則加上去後,然後再強迫大家三個月換一次密碼,再來通常會發生非常可怕的安全性漏洞:「大家都把密碼寫在紙上,貼在牆上或放在抽屜裡。

好消息是,有南加州大學兩位研究人員發表了一篇論文,介紹了如何產生難以破解又容易記憶的密碼,到底要怎麼做呢?

閱讀全文〈難以破解又容易記憶密碼的方法〉

PHP 使用 SHA256、SHA512 等 演算法的寫法

PHP 有 md5()sha1() ... 等等 function,不過現在建議使用 SHA224 以上(註),在 PHP 要怎麼寫呢?

註:下述摘錄自此篇:Mobilefish.com - MD5, SHA1, SHA224, SHA256, SHA384, SHA512 and RIPEMD160 hash generator

  • MD5 is considered cryptographically broken and is unsuitable for further use.
  • The SHA1 algorithm might not be secure enough for ongoing use. It is recommended not to use SHA1.
  • SHA224: SHA224 produces a 224-bit (28-byte) hash value, typically rendered as a hexadecimal number, 56 digits long.
  • SHA256: SHA256 produces a 256-bit (32-byte) hash value, typically rendered as a hexadecimal number, 64 digits long.
  • SHA384: SHA384 produces a 384-bit (48-byte) hash value, typically rendered as a hexadecimal number, 96 digits long.
  • SHA512: SHA512 produces a 512-bit (64-byte) hash value, typically rendered as a hexadecimal number, 128 digits long.
  • RIPEMD160: RIPEMD160 produces a 160-bit (20-byte) hash value, typically rendered as a hexadecimal number, 40 digits long.

閱讀全文〈PHP 使用 SHA256、SHA512 等 演算法的寫法〉

Dyre Wolf 專門針對銀行的惡意軟件

前陣子登入網路銀行,有特別出現下述訊息:

資訊安全提醒:請留意新型惡意軟體”Dyre” 。 按此了解更多。

很難得在銀行看到這種訊息,於是特別研究看看這是什麼東西,沒想到是專門針對銀行的惡意軟體,而且非常專業。

下述摘錄自銀行頁面:Online and mobile security - Standard Chartered Bank Limited

安全警告——針對網上銀行客戶的DYRE惡意軟件

DYRE通常透過含有惡意軟件附件的釣魚電郵感染用戶的電腦,一旦用戶開啟受感染的郵件及附件,惡意軟件就會安裝在用戶的電腦。DYRE可以盜取網上銀行憑證,並在用戶登入網上銀行時置入新畫面欺騙用戶,誘使用戶提供登入名稱、密碼、授權代碼和一次性密碼等個人資料。

如客戶登入網上銀行期間出現任何不尋常情況,請提高警覺。可疑的情況包括:

  • 任何經修改的登入流程,彈出式頁面要求輸入個人資料或信用卡資料
  • 閣下尚未進行任何交易,但畫面已經要求輸入保安編碼器或手機一次性密碼或保安編碼
  • 不尋常的短訊,例如「閣下的賬戶已被暫停,請用另一用戶賬戶登入,以便重新啟動閣下的賬戶」或「為加強安全,請提供更多資料」
  • 轉駁至提供熱線電話號碼的第三方網站

如有此類異常情況,務請停止網上銀行操作並立即通知銀行。另外,我們建議切勿開啟可疑郵件或附件,並且以最新版本的除毒軟件定期掃描電腦。請細心閱讀短訊或郵件警告,一旦獲悉有關交易並非閣下進行,請立即聯絡銀行。

閱讀全文〈Dyre Wolf 專門針對銀行的惡意軟件〉

好站 - MD5 解碼工具站

MD5、SHA1 ..  等等,都是單向加密工具,是無法解回來的,不過也不是沒辦法,解不回來的話,就乾脆自動產生一堆值過去加密,存入 DB 後,就可以快速查詢(當然不存在就沒
辦法,不過如果存在就很有趣了. XD)

於是就看到這種網站出現:MD5 decrypter - free online MD5 SHA tool - MD5decoder.org

註:此網站不只有 MD5,還有 SHA1, sha256, sha512, crc, base64... 等等,一堆的可以解譯使用。

免費 VPN 服務 Hola 的安全問題

在中國大陸被 GFW 擋住時,最需要 VPN 協助,就常常會找免費的 VPN 來用。

免費的 VPN 通常都可能會有些其它問題,這間的問題也會是其它類似服務都有可能會發生的狀況,紀錄起來可以省下不少說明時間。

  • 註1:如果有安裝 Hola 的,就先盡快移除吧~
  • 註2:我並沒有用此軟體服務,所以沒有驗證是否有此問題,請自行判斷一下囉~

閱讀全文〈免費 VPN 服務 Hola 的安全問題〉

多家廠牌路由器漏洞 造成DNS設定被修改等問題

現在大多數人在家中、公司都是買台 AP / Wifi,然後分享網路給電腦、手機...  等使用,看來這些 AP 已經被列為攻擊的目標了~

閱讀全文〈多家廠牌路由器漏洞 造成DNS設定被修改等問題〉

Lets’s Encrypt 將提供免費 SSL(HTTPS) 憑證給整個 Web 使用

Lets Encrypt 是由 Mozilla、Cisco、Akamai.. 等 共同創立的,由 ISRG(Internet Security Research Group) 負責營運,主要目的要推動 HTTPS 加密傳輸,希望簡化目前 SSL 申請、安裝流程,讓 HTTP 轉換到 HTTPS 非常簡單又快速。

閱讀全文〈Lets’s Encrypt 將提供免費 SSL(HTTPS) 憑證給整個 Web 使用〉