朋友们设置密码中包含常用词汇：123456、1314、520、521等常用词汇
80后，用生日当密码。90后使用自己名字做密码。小朋友使用爸爸妈妈手机做密码。lollol

我来说了个两个案例，聊一下如何防范社会工程学的密码策略，也是我做培训写的案例。共享给大家~~:)
案例1:
曾经有人做实验，在地址栏输入http://www.xxxxxxx.gov.cn，按回车键登陆北京xx网站。选择公务员邮箱，输入邮箱名，邮箱密码默认为六个1，鼠标单击登陆。例如，选择公务员邮箱，在用户名处输入tjjbgs，密码输入111111，或者123456等，单击登陆即可进入统计局办公室的邮箱。如果做这个实验的是不法分子盗取国家机密信息，麻烦就大了。
案例2：
管理员发现一台服务器被入侵，但是不知道如何被入侵的，简单了解了一下情况，服务器前有防火墙，只开放了80、3389端口，服务器补丁打全了。怀疑可能SQL注入，但是看web日志前，习惯性的先简单看了看服务器日志，发现服务?器安全日志中存在多个互联网IP地址从远程终端登录的记录，甚至有在夜间的。于是问了一下管理员和开发商人员，在记录的时间段内是否进行过登录，回答均没有在那个时间登录过，初步判断可能是密码被猜出来，攻击者直接从终端服务进行了远程登录，登录到系统上进行了操作。问管理员密码情况如何，管理员说我们密码安全性应该比较好，有字母、有特殊字符，而且12位长，问之什么密码，答约：zaq12wsxZAQ!@WSX 大家看起来应该比较复杂，仔细看一下你的计算机键盘，其实就是最左边的一排键，从下按到上，兜一圈按下来，然后按着shift键再重按一次。
案例虽然不复杂，但是其实其中牵涉到了密码设置的问题。账号密码设置是信息安全中最基本的安全措施，尽管事情非常简单，但是任然有大量的安全事件与密码有关，如何设置一个好的密码，其实是一门学问。很多安全资料，都提到设置密码，提到的都是多少位长度、大写字母、小写字母、数字都有，但上面案例中管理员设置的密码似乎都符合以上要求，长度够、复杂度够。但仍然不是安全的密码。因为这种密码对于纯粹穷举的暴力破解是很好的，但是对结合了社会工程学的口令破解方式，这种密码就属于安全性不足的密码了。
好的密码应该包含两个特点：自己很好记、别人不好猜。
案例中的管理员设置的密码符合了第一条，没有符合第二条，所谓不好猜应该指的是不好推理出来，使用电话号码、生日作为密码的就明显不符合不好推理的情况，攻击者可以通过收集目标信息从而推理出来，还有就是必须无规律，案例中的管理员就是使用了规律的密码，构成密码的字符在键盘上是顺序排列的，也就意味着有?规律可循、可以推理出来，因此不是好密码。
还有些管理员设置了很复杂的口令，的确无规律，不可推理，能有效的应对攻击者的口令破解，但是大多很难记忆，不符合第一条要求。由于不好记忆，于是管理员会将口令保存在excel表中、存放在自己的个人电脑中，或者记在笔记本里面，这也为口令的保管带来了另外的安全威胁，但如果仅仅把密码记忆在脑中，又存在由于时间长而忘记口令的情况。
我有一个比较好的方法请大家参考，用自己熟悉的唐诗宋词做密码，并定期更换。例如：“问君能有几多愁？恰似一江春水向东流” 密码：Wjnyjdc?qs1jcsxdL
这个密码长度安全可以防范暴力破解，并且有大小写，符号，数字等多种组合，符合了“自己很好记、别人不好猜”策略。是个比较好的密码策略，也容易定期更换，也请大家集思广益分享好的密码策略~~
:P:P:P

Indeed 发表于 2016-4-19 16:47
我来说了个两个案例，聊一下如何防范社会工程学的密码策略，也是我做培训写的案例。共享给大家~~
案例 ...

感谢分享！有深度！

skylake 发表于 2016-4-17 14:54
给大家回顾下2个故事聊一下公开信息安全问题
Story1：

这么夸张，几张照片而已。感谢楼上分享，以后晒朋友圈要谨慎再谨慎了，虽然咱们没影迷关注吧，也得避免给坏人可乘之机 :lol

吐槽一下信息安全事件吧，我的手机最近经常收到银行提醒积分兑换，去银行一问，得知是诈骗信息；警方提醒广大市民，电信网络诈骗各种骗术层出不穷、手段花样繁多，提醒大家一定要提高警惕：注意保护个人的信息资料，在任何时间、任何地点、对任何人都不要同时说出自己的身份证号码、银行卡号码、银行卡密码等个人信息；对于一些根本无法鉴别的陌生短信、电话，最好的做法是不要理他，同时要特别注意防范套问个人身份证情况、银行卡储蓄信息等情况的电话；在接到自称电信、公安、检察院等国家机关工作人员打来的电话，以各种理由要求群众转账汇款到所谓“安全账户”的，这一定是个骗局，因为国家机关工作人员绝不会通过电话给群众提供所谓“安全账户”而要求群众转账汇入；在电话诈骗犯罪中，不法分子有可能使用修改号码软件，以提高“可信度”欺骗群众。遇到这种情形，群众可以回拨显示的对方来电以确认真伪，如果对方是通过来电显示修改软件拨打的电话、按显示的号码回拨该号码，就只能是打回真正的号码的主人，不法分子是无法接听到的，这样就立即戳穿诺言和骗局；遇到紧急情况，要尽快拨打110报警电话与警方联系。

如今，电信诈骗在全国各地呈高发态势，并有愈演愈烈之势。据数据资料显示，仅在北京和上海两市，2013年前11个月破获的电信诈骗案件较之2012年同期就分别上升了32.24%和44.6%。
以后卖诈骗保险去喽。。。。

身边真实的事情，不知道算不算信息安全的范畴呢。
不管啦，说出来，也提醒一下大伙
朋友把银行卡密码直接写在签名栏，当然可能也考虑到了安全问题，所以是倒过来写的，就这样，还是被当时的舍友偷盗了，后来报警，找到偷盗者，追回了资金，但是这样的事情，就是听起来弱智，做起来却很顺手。
所以，很多时候不是不懂安全，只是觉得不会轮到自己头上吧。简单点，好记点就算了。。。

本帖最后由 az2005 于 2016-5-7 10:26 编辑
说一个某黑客V讲过的故事吧，
“我曾经持续观察了一个女孩3年，3年中一直看着她和男朋友谈情说爱。她是个美女，我只见过她两次，是朋友的朋友。最后她没有选择一直在谈情说爱的男朋友，而是和一个比她大了10岁的男人结婚。”
那么V是如何观察这个女孩的呢？
V坦诚，有时候他喜欢窥探他人的隐私。窥私欲是人类的天性，是所有黑客走上黑客之路的源动力。
QQ查找好友的“可能认识的人”，把女孩推荐给了V（朋友的朋友）。女孩用自己的照片做了头像，所以一眼就能认出来。随后V查看了女孩的个人资料，知道了女孩的邮箱地址。V查出了女孩用的网易邮箱的密码，发现密码很有规律，是“姓名全拼+!@#”，或者“woaini+生日+姓名全拼”。
V进入女孩的邮箱后，发现女孩注册了12306用来订火车票。V通过这个注册邮箱，获取了女孩在12306的密码。登录12306后，V得到了女孩和她家人的所有身份证信息以及出行记录。同时女孩在携程上预订的机票信息也会发送到这个邮箱。自此，女孩只要出行想去什么地方，去过哪里，全都在V的掌控之中。
网易邮箱为了保护账户安全可以绑定QQ。V看到女孩的网易邮箱没有绑定QQ，就去绑定了一个自己的QQ。这样就算女孩把邮箱密码换了，V也能够通过绑定的QQ号强制改回来，从而实现了对女孩的终生监控。女孩至今都没发现安全认证的QQ号不是自己的。
有一次，V用一个QQ的XSS漏洞，获得了女孩在腾讯的Cookie，从而能够浏览她的微博私信、QQ空间、私人相册、朋友网、QQ每天都和谁说话了，QQ每天在哪里登陆过。V就像一双隐形的眼睛，在背后默默的注视着女孩的一举一动，一颦一笑。也许V比女孩最亲密的人，都更了解女孩的一切。
这里没有什么狗血的爱情故事，V只是默默的观察着，而从未惊动过女孩。。。
从这个故事里，我们可以体会一下如何防范自己的信息安全~~

吐槽一下铁路局的网络技术，前天突然收到铁路局短信，说王某某定的北京至天津的高铁票订购成功，我思考了一下，我不姓王啊！！难道我的号码被盗了！！！我当时就蒙圈了，难道还有人无聊到盗用我的号去购票，自己不会注册一下？？？

讲2个我们身边最贴近的信息安全技术问题。
1.WIFI钓鱼陷阱
许多商家为招揽客户,会提供WiFi接入服务,客人发现WiFi热点,一般会找服务员索要连接密码。黑客就提供一个名字与商家类似的免费WiFi接入点,吸引网民接入。比如在王府井附近,用来钓鱼的WiFi名就被命名为WangFujin_Free,很快就能发现逛街累了的人们接了进来。
一旦连接到黑客设定的WiFi热点,你上网的所有数据包,都会经过黑客设备转发,这些信息都可以被截留下来分析,一些没有加密的通信就可以直接被查看。于是,你在免费上网,就如同在互联网上裸奔。黑客可以知道你上网买了什么东西,在朋友图看了什么图片和视频,还可以冒用你的身份去发微博,查看你和朋友聊天的私信。
“钓鱼”实验：
模拟黑客，在王府井商业区分别设置了名为WANGFUJINGFREE的免费WIFI热点，不设密码，作为“诱饵”引诱附近的网民连接。
由于该WIFI无需密码且信号较强，因此很快就有几十个网民通过手机、平板电脑、电脑等设备接入了这两个钓鱼热点，而网民在网络上的一举一动，甚至其手机型号、打开的应用名称及上网信息，如浏览过的网页、机主QQ号码、微信朋友圈照片、淘宝、微博账号等信息，则同时被该WIFI创建者截获。
实验发现，在钓鱼WIFI环境下，网民若登录微博，黑客则利用网上存在的会话机制轻松劫持该网民的微博帐号，不仅可以以主人的身份浏览网民的私信内容和加密的相册，还可以进行发微博和删微博等操作。而如果网民接入WIFI后进行网购，那么黑客一样可以直接进入其网购账号，查看网民购买记录及个人联系方式、家庭住址等。
2. 家用路由器易被攻克专家：切记修改出厂密码
连接公共WIFI有风险，在自己家里使用路由器上网就安全吗？
路由器劫持及网络欺诈过程：
黑客攻击家用路由器一般有三个步骤：第一，破解网民家里的WiFi密码；第二，接入WIFI之后，再破解路由器管理后台的账号和密码，获得路由器管理权；最后，在路由器中植入后门程序，窃取网民上网信息，或者篡改路由器DNS设置，使得网民在不知情的情况下访问钓鱼欺诈网站。多数网民缺乏一些相关的安全意识，路由器管理后台的初始登录账户和密码从不曾修改，这也给了恶意攻击者可乘之机。

最近许多人问我什么是网络安全，网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。因此，网络安全的关键是预防！！

我来吐槽下信息安全问题，现在几乎每个人都网购，方便快捷。但买完东西后，大家都习惯性的把包裹袋子随手一扔，殊不知，这存在很大的安全隐患，包裹袋子上含有个人电话、地址等很重要的个人信息，你时不时的收到骚扰电话，或许就跟这有关，被不法分子捡到的话，后果更是不堪设想。信息安全问题，从小事做起，从身边做起，所以，以后一定要把袋子撕烂再扔！

据《福布斯》网站报道，LinkedIn（领英）周三对外证实，公司网站LinkedIn.com在2012年遭遇黑客攻击时，有超过1亿条用户登录信息（包括电子邮件和散列密码）被盗，而之前的说法为650万条。
linkedin用的人很多，这下遇到麻烦了。

谷歌最近又做了一件超级“政治正确”的事情，继续巩固全球“道德楷模公司”的形象。
谷歌在5月4日表示，会禁止网站上“具有欺骗性和恶性的金融产品”广告，因为这些广告会导致用户陷入难以偿还贷款和高额违约金的困境中。
跟百度相比，广告对于谷歌来说可能更重要—它占了谷歌收入来源的绝大部分，虽然从事广告运营的人员很少—据说只有2%的员工在负责给公司赚钱。
现在，谷歌的口号已经由被动变为主动，从“永不做恶”升级为更有进取感的“做正确的事”。
对谷歌“侵犯隐私”的质疑声音从来没有断绝过，而且随着大数据时代的到来而变得越来越密集。—尽管在大数据时代，互联网公司穷尽各种手段伸手到用户的硬盘和账户里，吸血一样收集用户信息已经是一种全行业默认的共识。
天啊，网络安全，网民主权，看来只是一句空话啊！！！！！！！

我读香港城市大学的时候，很喜欢研究黑客技术。有一次进了城市大学的图书馆，好奇之下看了一下图书馆的借书系统。查询系统一般是window xp。所有管理员工具都被隐藏。但是没有关掉微软HELP文档帮助。打开文档帮助可以存取ie. 在IE 的地址栏打指定命令就可以打开command shell 。然后所有的管理员工具都可以透过cmd里运行。比如regedit, explorer ...甚至format. 于是那天晚上我就匿名发个邮件给学校图书馆，告诉他们有这个漏洞。他们回复我谢谢我的提醒。他们最后有没有做出改善我没有去关注了，但是这种低级漏洞出现在大学里面我觉得还是有点粗心了。