WEB應(yīng)用開發(fā)中的安全算法使用策略.ppt

WEB應(yīng)用開發(fā)中的安全算法使用策略,安天實(shí)驗(yàn)室2012-2-20,2020/5/31,創(chuàng)造安全每一天,第2頁,自我介紹,姓名:童志明簡介:ASM/C/C+程序員，專科肄業(yè)，自學(xué)未成才職務(wù):目前任安天反病毒引擎研發(fā)中心總經(jīng)理Mail:andy,2020/5/31,創(chuàng)造安全每一天,第3頁,演講內(nèi)容,背景介紹我們所面臨的威脅那些錯(cuò)誤的實(shí)現(xiàn)安全算法使用策略結(jié)束,2020/5/31,創(chuàng)造安全每一天,第4頁,背景介紹,關(guān)于演講中的名詞說明以及泄密事件的背景,2020/5/31,創(chuàng)造安全每一天,第5頁,背景介紹名詞相關(guān),HASH:簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要。加密/密文:把口令變換的過程稱為加密，以及把口令變換后的結(jié)果稱為密文并不科學(xué)，但卻是公眾所能理解的。計(jì)算速度:關(guān)于HASH的計(jì)算速度，本文所指的是單位時(shí)間內(nèi)的計(jì)算次數(shù),2020/5/31,創(chuàng)造安全每一天,第6頁,背景介紹泄密事件,2020/5/31,創(chuàng)造安全每一天,第7頁,我們所面臨的威脅,我們所面臨的安全威脅,2020/5/31,創(chuàng)造安全每一天,第8頁,威脅無處不在安全是一個(gè)整體,在當(dāng)前0day橫行的時(shí)代，幾乎沒有網(wǎng)站和應(yīng)用可以絕對(duì)保證自己數(shù)據(jù)庫系統(tǒng)的安全,2020/5/31,創(chuàng)造安全每一天,第9頁,威脅無處不在信息的二次利用,信息被盜后，攻擊者會(huì)對(duì)信息進(jìn)行二次利用,2020/5/31,創(chuàng)造安全每一天,第10頁,那些錯(cuò)誤的實(shí)現(xiàn),在泄密事件發(fā)生后我們聽到了各種各樣的聲音,2020/5/31,創(chuàng)造安全每一天,第11頁,那些錯(cuò)誤的實(shí)現(xiàn)使用標(biāo)準(zhǔn)HASH算法,不合理但比較靠譜的實(shí)現(xiàn)如何應(yīng)對(duì)統(tǒng)計(jì)攻擊?,2020/5/31,創(chuàng)造安全每一天,第12頁,那些錯(cuò)誤的實(shí)現(xiàn)使用標(biāo)準(zhǔn)HASH算法,不合理但比較靠譜的實(shí)現(xiàn)如何應(yīng)對(duì)高頻碰撞?,2020/5/31,創(chuàng)造安全每一天,第13頁,那些錯(cuò)誤的實(shí)現(xiàn)聯(lián)合使用HASH,與使用標(biāo)準(zhǔn)HASH算法相同如何應(yīng)對(duì)彩虹表?,2020/5/31,創(chuàng)造安全每一天,第14頁,那些錯(cuò)誤的實(shí)現(xiàn)聯(lián)合使用HASH,彩虹表生成器,2020/5/31,創(chuàng)造安全每一天,第15頁,那些錯(cuò)誤的實(shí)現(xiàn)自己設(shè)計(jì)算法,如果保證HASH的均勻性？HashCollisionDoS（通過Hash碰撞進(jìn)行的拒絕式服務(wù)攻擊）,引自安天2010.03基于內(nèi)存對(duì)象對(duì)26種HASH方法的測(cè)試結(jié)果,2020/5/31,創(chuàng)造安全每一天,第16頁,那些錯(cuò)誤的實(shí)現(xiàn)慢速HASH,慢速HASH能有多慢?無法解決上述的問題！,2020/5/31,創(chuàng)造安全每一天,第17頁,安全算法使用策略,使用正確的設(shè)計(jì)方案、正確的算法是我們所需要的,2020/5/31,創(chuàng)造安全每一天,第18頁,安全算法使用策略APM介紹,慎用,介紹,算法RSA、SHA256基于現(xiàn)有開源包的算法合理應(yīng)用的示例，不是算法實(shí)現(xiàn)也不是新算法。一用戶一鹽個(gè)性化量(用戶名)鹽表同行經(jīng)驗(yàn)（UID、注冊(cè)時(shí)間）提供還原模式，不建議采用。最無奈“一號(hào)通”無解,資源,開源,2020/5/31,創(chuàng)造安全每一天,第19頁,安全算法使用策略為什么要使用標(biāo)準(zhǔn)算法,標(biāo)準(zhǔn)的算法是公開的標(biāo)準(zhǔn)的算法其合理性是經(jīng)過科學(xué)驗(yàn)證的有些問題不是算法的問題，是如何合理使用的問題,2020/5/31,創(chuàng)造安全每一天,第20頁,安全算法使用策略如何應(yīng)對(duì)密文攻擊,攻擊者掌握的資源-計(jì)算速度-計(jì)算資源,2020/5/31,創(chuàng)造安全每一天,第21頁,安全算法使用策略如何應(yīng)對(duì)密文攻擊,常態(tài)速度,GPU加速之后,引自安天2010.03基于內(nèi)存對(duì)象對(duì)26種HASH方法的測(cè)試結(jié)果,2020/5/31,創(chuàng)造安全每一天,第22頁,安全算法使用策略如何應(yīng)對(duì)密文攻擊,現(xiàn)有的攻擊手段,2020/5/31,創(chuàng)造安全每一天,第23頁,安全算法使用策略如何應(yīng)對(duì)密文攻擊,為什么要使用鹽?,2020/5/31,創(chuàng)造安全每一天,第24頁,安全算法使用策略如何應(yīng)對(duì)密文攻擊,當(dāng)用戶首次提供密碼時(shí)（通常是注冊(cè)時(shí)），由系統(tǒng)自動(dòng)往這個(gè)密碼里加入SALT，然后再散列。而當(dāng)用戶登錄時(shí)，系統(tǒng)為用戶提供的代碼撒上同樣的SALT，然后散列，再比較散列值，已確定密碼是否正確。,2020/5/31,創(chuàng)造安全每一天,第25頁,安全算法使用策略如何應(yīng)對(duì)密文攻擊,APM示意圖,2020/5/31,創(chuàng)造安全每一天,第26頁,安全算法使用策略鹽的使用,單一SALT一站一鹽一用戶一鹽,2020/5/31,創(chuàng)造安全每一天,第27頁,其它策略APM中的KC,隨著互聯(lián)網(wǎng)web2.0網(wǎng)站的興起，非關(guān)系型的數(shù)據(jù)庫現(xiàn)在成了一個(gè)極其熱門的新領(lǐng)域，非關(guān)系數(shù)據(jù)庫產(chǎn)品的發(fā)展非常迅速。如果閱讀過APM代碼，你會(huì)發(fā)現(xiàn)實(shí)現(xiàn)中沒有使用SQL而是用的KyotoCabinet,2020/5/31,創(chuàng)造安全每一天,第28頁,其它策略常見口令規(guī)避,上述的所有問題中，“一號(hào)通”是最無奈的,2020/5/31,創(chuàng)造安全每一天,第29頁,其它策略常見口令規(guī)避,常態(tài)“一號(hào)通”檢查高頻密碼、已泄漏密碼提示動(dòng)態(tài)均衡(亦有弊端),2020/5/31,創(chuàng)造安全每一天,第30頁,其它策略運(yùn)維,不要把雞蛋放在一個(gè)籃子里