密码管理,对于大部分人来说可能就是所有账户都使用一个密码(图方便),这种做法的危险性不言而喻。为什么我们需要管理好自己的密码呢?
老牌密码明文存储先驱 CSDN,加上你注册的大量论坛都是基于各种开源的程序搭建,站长或多或少没有及时更新补丁。一旦一个网站的密码泄露,黑客通过自动化的程序就可以把你所有用了一样密码的服务都找出来,然后说不定什么“xx门”就曝出来了。
其次,设置简单的密码,黑客通过社会工程学可以很轻易的猜解到密码(如果你没什么名,可以无视这条)。例如「Machook事件」的某位参与者的密码被轻易人肉出,再比如「黑客是如何发现女朋友出轨的」这剧。
最后,如果公司的企业账户因为设置了简单的密码被猜解出后果更加严重。
那么如何设置安全的密码呢?我们可以先将密码的属主进行分类:
• 个人密码
• 公司密码
个人密码也可以再分,按照重要程度、使用场景:
• 不重要的网站
• 涉及金钱或重要个人资料的网站(支付宝,Github 什么的)
• 需要经常输入密码的服务(Apple ID什么的)
相应的密码生成策略应运而生:
• 公司密码使用 1Password 生成随机强密码
• 自己不重要的网站可以用一个统一的密码
• 自己重要的密码全部用 1Password 生成随机强密码
• 自己经常需要输入的密码可以用一定的策略生成容易记忆的强密码
如何生成容易记忆的强密码呢?
• 密码由数字+大小写字母+特殊字符组成
• 不同网站可以对应不同的密码
聪明的你一定会想到方法了,用一个固定的字符串加上网站的名称就可以让不同网站的密码不一样,我们这里将规则加强一些,得到下面的方法:
• 密码第一部分由固定的字符串组成,切记不要用生日电话昵称之类的,这里我用 Maple888 作为例子
• 第二串包含特殊字符,我选了 @
• 第三串,使用网站英文名的第 2、4、6 三个字母,没有 6 个字母的网站用 0 补全
比如我在 Google 下的密码就是 Maple888@oge,包含了数字,大小写字母,特殊字符,而且不容易被猜到是 Google 的。
第三串的规则大家可以自己来生成规则,比如倒着的 1、3、5 个字母之类的,再比如第 2、4、6 个字母在键盘上面的字符等。
最后,隆重推荐 1Password 这个密码管理工具(支持 iOS/Mac/Windows/Android),以及建议不要使用 LastPass,原因如下:
• LastPass 多次爆出安全漏洞
• LastPass 出现过多次用户密码被全部清除
• LastPass 密码存储在 LastPass 的服务器上面,和 1Password 的存储在 Dropbox 上有很大区别,1Password 的 Dropbox 就算被攻破,但是只要主密码不被攻破密码就很安全
这里不打算介绍如何使用 1Password,仅仅分享下自己积累过的 1Password 使用技巧,送给看得懂的有缘人:
• How to create, share a vault with family or coworkers
• Quickly copy passwords from 1Password in iOS
• 1Password with Launch Center Pro’s lists and prompt fallback
《 “个人密码的管理[bak]” 》 有 17 条评论
`
1.姓名
2.性别
3.职位
4.照片
5.兴趣爱好
6.实际出生日期
7.身份证出生日期
8.身份证号码
9.身份证家庭住址
10.家庭成员
11.社会关系
12.快递收货地址
13.教育经历
14.QQ
15.微信
16.邮箱
17.手机号(曾用与现用)
18.银行卡
19.电子邮箱
20.支付宝
21.各社交平台主页(QQ空间,微博,人人网,百度贴吧,校友网,facebook,twitter等)
22.常用ID
23.常用密码
24.常用密码组合
25.性格素描
`
社会工程学概念与达到要求参考
https://www.hackfun.org/pentest/The-concept-of-social-engineering-and-its-requirements-for-reference.html
Python 密码泄露查询模块
https://github.com/lauixData/leakPasswd
一个简单的多线程SSH爆破工具
https://github.com/R4stl1n/SSH-Brute-Forcer
Password Guessing Framework 密码猜解框架
https://www.password-guessing.org/static/index.php
https://github.com/RUB-SysSec/Password-Guessing-Framework
密码修改最佳实践
https://linux.cn/article-8973-1.html
https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html
`
三个重要的建议:
1、不要再纠结于复杂的密码规则。它们使密码难以记住。因为人为的复杂密码很难输入,因此增加了错误。它们也没有很大帮助。最好让人们使用密码短语。
2、停止密码到期。这是我们以前使用计算机的一个老的想法。如今不要让人改变密码,除非有泄密的迹象。
3、让人们使用密码管理器。这就是处理我们所有密码的方式。
这些密码规则不能让用户安全。让系统安全才是最重要的。
`
中国特色的弱口令生成器
https://github.com/RicterZ/genpAss
1.5W条密码样本分析
http://www.evilclay.com/2017/06/03/1-5W%E6%9D%A1%E5%AF%86%E7%A0%81%E6%A0%B7%E6%9C%AC%E5%88%86%E6%9E%90/
`
组合规律:
姓 + 6位数字
8位生日 + 两个字母
一位字母 + 123456
姓名首字母 + 123
名拼音 + 520
姓拼音 + 6位生日
123456 + 姓名首字母
姓名首字母 + 6位数字
姓名 + 000
a + QQ号
小名(名连读) + 1111
姓 + 123
姓名首字母 + 4位生日年份
4位生日年份 + 名拼音
名拼音 + 6位生日
6位数字 + 姓名首字母
姓名 + 4位数字
姓拼音 + 生日年份
姓名首字母 + 4位生日月份天数
姓首字母 + 6位数字
姓名首字母 + 1234
6位生日(月份 + 1) + 名拼音
qwerty + 6538
姓名首字母 + 6位生日
姓名首字母 + 4位数字
姓名首字母 + 123456
对象姓名首字母 + 6位生日
123456 + 姓
名 + 4位数字
姓名首字母 + 4位年份 + 2随机数字
姓 + 123123
名 + 4位年份
姓首字母 + 2位月份 + 4位年份
姓 + 年份最后2位
姓名首字母 + 4位年份 +
1位月份(生日-1) + 1位天数
姓名首字母 + 4位年份 + 2位月份
6位对象生日 + 姓名首字母
姓首字母 + 名 + 生日年份
对象首字母 + 520
2个字母 + 123321
对象首字母 + 8位生日
对象首字母 + 520520
520 + 对象首字母
姓 + 258369
`
is_my_password_pwned – 判断密码是否出现在被黑账户数据库中的脚本
https://github.com/kevlar1818/is_my_password_pwned
iCloudBrutter – AppleID 暴力破解脚本
https://github.com/m4ll0k/iCloudBrutter
网上泄露数据库的下载地址
https://cdn.databases.today/
iOS 11 升级后的 iCloud 钥匙串,能够替代 1Password 吗?
https://36kr.com/p/5089538
iPhone手机上如何添加要保存的用户名密码?
`
设置 -> 密码与帐户 -> 网站与应用密码 -> 右上角+
`
全平台最佳密码管理工具大全:支持 Windows、Linux、Mac、Android、iOS 以及企业应用
https://juejin.im/post/5b226ecc6fb9a00e4e47ac2b
https://cloud.tencent.com/developer/article/1108231
https://thehackernews.com/2016/07/best-password-manager.html
`
保证在线服务的安全?
密码管理器是什么?
密码管理器如何工作?
哪个是最好的密码管理器?如何选择?
Windows 最佳密码管理工具
1. Keeper 密码管理器(跨平台)
2. Dashlane 密码管理器(跨平台)
3. LastPass 密码管理器(跨平台)
Mac OS X 最佳密码管理器
1. LogMeOnce 密码管理器(跨平台)
2. KeePass 密码管理器(跨平台)
3. 苹果 iCloud 钥匙串
Linux 最佳密码管理器
1. SpiderOak 加密密码管理器(跨平台)
2. EnPass 密码管理器(跨平台)
3. RoboForm 密码管理器(跨平台)
Android 最佳密码管理器
1. 1Password 密码管理器(跨平台)
2. mSecure密码管理器(跨平台)
iOS 最佳密码管理器
1. OneSafe 密码管理器(跨平台)
2. SplashID 安全密码管理器(跨平台)
3. LoginBox Pro 密码管理器
最佳在线密码管理器
1. Google 在线密码管理器
2. Clipperz 在线密码管理器
3. Passpack 在线密码管理器
最佳企业密码管理器
1. Meldium 企业密码管理软件
2. Zoho Vault 密码管理软件
`
乙方渗透测试之Fuzz爆破 #内容很全了,里面涉及到很多repo和博客文章都是之前看过的
https://www.cnblogs.com/blacksunny/p/9236953.html
黑客偷你密码的7种方式
https://www.sentinelone.com/blog/7-ways-hackers-steal-your-passwords/
`
One way or another, passwords are always in the news. They’re either being stolen in data breaches, or mocked for being too simple; derided as pointless, or lamented for being technologically backward. No matter what opinion any of us have on passwords, though, one thing is indisputable: we’re going to be using them today, tomorrow and for the foreseeable future. Unlike touch or facial recognition technologies, passwords are used everywhere because they’re cheap to implement and simple to use. For end users, they are as low-tech as security tech ever gets. Of course, that ubiquity and simplicity is precisely what makes passwords attractive to thieves. In this post, we take a look at how hackers steal our passwords and what we can do to stop them.
不知怎么的,密码总是在新闻中出现。它们要么在数据泄露中被盗,要么被嘲笑过于简单;被嘲笑为毫无意义,或因技术落后而哀叹。不管我们对密码有什么看法,有一件事是毋庸置疑的:我们今天、明天和可预见的未来都会使用密码。与指纹或面部识别技术不同,密码无处不在,因为它们实现起来便宜,使用起来简单。对于终端用户来说,它们是没有技术门槛的安全技术。也正是这种普遍性和简便性使密码对小偷具有极强的吸引力。在这篇文章中,我们来看看黑客是如何窃取我们的密码的,以及我们可以做些什么来阻止他们。
1. Credential Stuffing – 密码复用
2. Phishing – 钓鱼攻击
3. Password Spraying – 密码喷涂,用常用密码表来进行尝试
4. Keylogging – 键盘记录
5. Brute Force – 暴力破解
6. Local Discovery – 本地发现,翻本地文件来找明文记录的密码
7. Extortion – 敲诈勒索/威胁
# Conclusion
Passwords aren’t going away any time soon, and there’s even good arguments to suggest that they shouldn’t. While biometric data, facial and fingerprint scanning all have a role in helping secure access to services, the one over-riding beauty of a password is it’s the “something you know” and not the “something you have”. The latter can be taken away from you, in some cases legally, but the former cannot, so long as you ensure that it’s sufficiently complex, unique and secret. Combine that with two-factor or multi-factor authentication and your chances of suffering data loss through password hacking are both extremely low and – importantly – highly limited. If an insecure site does leak your credentials, you can be confident that it won’t affect you beyond that particular service if you keep up with good password security habits.
密码不会在短时间内消失,甚至有充分的理由认为它们不应该消失。虽然生物识别数据、面部和指纹扫描都有助于安全访问服务,但密码最重要的魅力在于,它是“你知道的东西”,而不是“你拥有的东西”。后者可以被剥夺,在某些情况下是合法的,但前者不能,只要你确保它足够复杂、独特和秘密。将其与双因素或多因素身份验证相结合,你因密码攻击而遭受数据丢失的几率非常低,而且(重要的是)非常有限。如果一个不安全的网站泄露了您的证书,您可以确信,如果您保持良好的密码安全习惯,它不会影响您在特定的服务之外。
`
中华人民共和国密码法
http://www.npc.gov.cn/npc/c30834/201910/6f7be7dd5ae5459a8de8baf36296bc74.shtml
`
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
`
CCTV12 《法律讲堂》| 国家密码管理局新闻发言人解读《密码法》
https://mp.weixin.qq.com/s/3VGjbQRcen9mfxgcX4_FHA
`
《中华人民共和国密码法》2020年1月1日正式进入实施阶段。
法律意义上的密码和生活中所说的密码有什么区别,又如何分类。这部听上去有些神秘的法律,究竟包含哪些内容,怎样与我们的社会生活息息相关。
央视12套《法律讲堂》推出密码法专题节目,特邀国家密码管理局新闻发言人李国海为大家解读《中华人民共和国密码法》。
国家密码管理局新闻发言人李国海用两集的时间为大家进行解读,上集为《保护国家秘密的密码》,下集为《百姓身边的密码》。
`
云密码管理软件LastPass数据泄露引发全球恐慌
https://mp.weixin.qq.com/s/MJqlLg8E8G-4pc8cj60eNg
`
这是LastPass自今年年初以来披露的第二起安全事件,此前该公司曾在8月份确认黑客使用泄露的开发人员账号访问了其开发环境。
根据LastPass的最新通告,最新泄露事件中攻击者使用的正是8月份从其开发人员环境中窃取的“云存储访问密钥和双存储容器解密密钥”访问了Lastpass的云存储设施。
上个月LastPass曾发布8月份黑客攻击事件的通告,当时该公司首席执行官卡里姆·图巴(Karim Toubba)含糊其辞地表示黑客“仅获得了客户信息的某些元素”。在发送给客户的电子邮件中,Lastpass还证实攻击者从其系统中窃取了专有技术信息和产品源代码。
在后续更新中,该公司还曾透露,八月的网络攻击中,黑客在其系统中驻留(保持内部访问权)了四天。
# 到底哪些数据泄露了?
LastPass首席执行官Toubba表示:“攻击者非法访问了用户的基本帐户信息和相关元数据信息。包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问LastPass服务的IP地址。(编者:此部分信息为明文未加密)”
“攻击者还从加密存储容器中复制了客户保险库数据的备份,保险库数据以专有的二进制格式存储,其中包含未加密的数据,例如网站URL,以及完全加密的敏感字段,例如网站用户名和密码,安全注释和表单填写的数据。”(下图虚线部分)
根据LastPass的说法,泄露的用户保险库数据使用了256位AES加密保护,并且只能用用户主密码(Master Password)派生的唯一加密密钥进行解密。
Toubba表示,用户的主密码永远不会为LastPass所知,它不会存储在Lastpass的系统上,并且LastPass也不会维护它。
但LastPass客户被警告说,攻击者可能会试图暴力破解他们的主密码,以访问被盗的加密保管库数据。LastPass声称,如果用户始终遵循LastPass推荐的密码最佳实践,这将非常困难和耗时。
# 为何引发全球用户恐慌?
LastPass的密码管理软件在全球拥有超过3300万个人用户和10万家企业用户,其用户数据大规模泄露引发了全球性恐慌,甚至波及其他密码管理器产品的用户。
虽然LastPass宣称泄露的是加密后的用户数据库,黑客破解很困难。但慢雾科技创始人余弦认为用户面临的风险依然很高。他在推特上建议LastPass的企业用户立刻更改在该密码管理器中存储过的账户密码,并警告说:
“根据官方披露的信息来看,至少虚线里的信息许多是泄露的,包括Encrypted Vault,这里面就有你那些最关键的密码等隐私。那么后面的游戏就变成:如果你的Master Password也被黑客知道了,那就全完了…”
“黑客要知道你的Master Password是有方法的,碰撞难度应该挺大,但如果通过其他泄漏源做分析,那就有一定概率可以知道。黑客之后可以玩概率统计游戏,反正LastPass用户那么多…”
余弦进一步警告说:“更糟糕的是,黑客还拿到了许多明文(用户隐私)信息,”如:
* 企业名称、最终用户名、账单地址、邮件地址、电话号码、用户访问LastPass服务的IP地址…
* 用户密码库里未加密的数据,例如网站地址…
余弦指出,虽然之前推荐了1Password和Bitwarden,但不排除二者将来也有可能发生类似的数据泄露安全事故,因此密码管理器用户应该提高警惕,时刻做好响应的准备。
# 密码管理器风险预防与缓解六大建议
GoUpSec咨询多位安全专家后,总结了密码管理器个人用户的六大风险预防与缓解建议,如下:
* 如果可能,只用开源且不能上传服务器的密码管理器(例如Keepass),或者关闭云同步功能(例如仅使用1Password的本地同步功能),避免使用浏览器插件等“方便的密码管理器扩展功能”。该方法虽然会牺牲一些(团队管理)功能和便利性,但是对于个人用户来说,安全性更好。
* 设置一个足够强大和独特的主密码(Master Password),并且单独(物理)记录和存放,不可以任何格式(包括图片)存储在任何联网设备中。
* 在密码管理器中不要在明文区域存储敏感信息。
* 给密码管理器中存储的密码“加盐”(密码的一部分片段为密写或者用符号代替的子密码,子密码独立于密码管理器记录和存储)。
* 开启密码管理器的多因素认证,并且使用硬件密钥或APP认证程序等认证因素而不是短信密码。
* 面对类似LastPass的用户数据泄露事件,请立刻更改所有存储在密码管理器中的账户密码,并遵循以上安全建议。
`
LastPass Breach
https://www.schneier.com/blog/archives/2022/12/lastpass-breach.html
Password Safe – The security of Twofish in a password database
https://www.schneier.com/academic/passsafe/
https://pwsafe.org/
Notice of Recent Security Incident (Update as of Thursday, December 22, 2022)
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
Top 200 most common passwords
https://nordpass.com/most-common-passwords-list/
`
password
123456
123456789
guest
qwerty
12345678
111111
12345
col123456
123123
1234567
1234
1234567890
000000
555555
666666
123321
654321
7777777
123
D1lakiss
777777
110110jp
1111
987654321
121212
Gizli
abc123
112233
azerty
159753
1q2w3e4r
54321
pass@123
222222
qwertyuiop
qwerty123
qazwsx
vip
asdasd
123qwe
123654
iloveyou
a1b2c3
999999
Groupd2013
1q2w3e
usr
Liman1000
1111111
333333
123123123
9136668099
11111111
1qaz2wsx
password1
mar20lt
987654321
gfhjkm
159357
abcd1234
131313
789456
luzit2000
aaaaaa
zxcvbnm
asdfghjkl
1234qwer
88888888
dragon
987654
888888
qwe123
football
3601
asdfgh
master
samsung
12345678910
killer
1237895
1234561
12344321
daniel
000000
444444
101010
fuckyou
qazwsxedc
789456123
super123
qwer1234
123456789a
823477aA
147258369
unknown
98765
q1w2e3r4
232323
102030
12341234
147258
shadow
123456a
87654321
10203
pokemon
princess
azertyuiop
thomas
baseball
monkey
jordan
michael
love
1111111111
11223344
123456789
asdf1234
147852
252525
11111
loulou
111222
superman
qweasdzxc
soccer
qqqqqq
123abc
computer
qweasd
zxcvbn
sunshine
1234554321
asd123
marina
lol123
a123456
Password
123789
jordan23
jessica
212121
7654321
googledummy
qwerty1
123654789
naruto
Indya123
internet
doudou
anmol123
55555
andrea
anthony
martin
basketball
nicole
xxxxxx
1qazxsw2
charlie
12345qwert
zzzzzz
q1w2e3
147852369
hello
welcome
marseille
456123
secret
matrix
zaq12wsx
password123
qwertyu
hunter
freedom
999999999
eminem
junior
696969
andrew
michelle
wow12345
juventus
batman
justin
12qwaszx
Pass@123
passw0rd
soleil
nikita
Password1
qweqwe
nicolas
robert
starwars
liverpool
5555555
bonjour
124578
`
8个开源密码管理器介绍(英文)
https://itsfoss.com/open-source-password-managers/
`
密码管理器用来管理各种登录密码,本文介绍8个开源的密码管理器。
Why Should You Pick an Open-Source Password Manager?
1. KeePass
2. Bitwarden
3. Proton Pass
4. KeePassXC
5. Passbolt
6. Buttercup
7. KWalletManager
8. Passwords and Secrets (a.k.a. Seahorse by GNOME)
总结
No matter the pick, you get all the essentials in every password manager. So, you need to focus on the specifics like the ability to self-host, emergency sharing access, and feature-set for the pricing plan to decide.
无论选择什么,您都可以在每个密码管理器中获得所有必需品。因此,您需要关注自托管能力、紧急共享访问和定价计划的功能集等细节。
Proton Pass应该是一个很好的专注于浏览器的密码管理器,而KeePass及其现代分支是完美的离线实用程序。Bitwarden是一个一体化的解决方案。最后,Buttercup和Passbolt是那些想要最小体验或协作功能的用户的独特选择。
Proton Pass should be a good browser-focused password manager, while KeePass and its modern fork are perfect offline utilities. Bitwarden is an all-in-one solution. Finally, Buttercup and Passbolt are unique choices for users who want a minimal experience or features for collaboration.
`