讚賞碼 & 聯繫方式 & 個人閒話
【實驗名稱】敏感信息蒐集與密碼心理分析
【實驗目的】
1.理解社會工程學的概念,掌握獲取敏感信息的方法
2.提高自我信息保護的意識和方法
3.理解密碼心理學的概念、密碼特徵分析
4.掌握黑客猜解密碼的切入方法、如何提高密碼強壯性
【實驗原理】
社會工程學(Social Engineering),一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法。它並不能等同於一般的欺騙手法,社會工程學尤其複雜,即使自認爲最警惕最小心的人,一樣可能會被高明的社會工程學手段損害利益。
密碼心理學就是從用戶的心理入手,分析對方心理,從而更快的破解出密碼。掌握好密碼心理學可以縮短破解時間,快速獲得用戶信息。
密碼本身的保密性是來源於其隨機性,整個密碼的被猜中概率(P)是多個密碼特徵概率的乘積,只有所有密碼特徵概率(Pi|i=1,2,3,……n)都處在一個較低的水平上時,整個密碼纔是安全的。可以用公式表達成:
P(c)=P1×P2×P3×……×Pn
我們可以看出,當特徵數量增多時(即n比較大),密碼的安全性也較高。
【實驗內容】
敏感信息蒐集
由於對實驗環境的限制,本實驗不能進行實驗步驟上的設計,故舉出一個通過在互聯網上使用信息蒐集的方法來獲取某人敏感信息的過程。
開始進行信息蒐集,具體過程如下:
(1)查看並分析目標個人資料,參見下圖:
可以獲取有可利用價值的信息包括:
表1-1-1
可能具有利用價值的信息 |
|
性別 |
男 |
生日 |
6月21日 |
血型 |
B型 |
生肖 |
兔 |
星座 |
雙子座 |
省份 |
山東 |
城市 |
泰安 |
(2)訪問其QQ空間,除照片外,並未發現有價值信息,參見下圖:
(3)查看其留言板現實中朋友,參見下圖:
表1-1-2
可能具有利用價值的信息 |
|
真實朋友 |
王建 |
(4)訪問王建的qq空間,發現王建的頭像照片,參見下圖:
(5)使用校內網的搜索,配合推測的“王建”個人信息,搜索此人,見下圖:
(6)在所有搜索結果中,配合4中已確定的王建的相貌,排除其他同名者,最終確定王建校內網賬號,參見下圖:
(7)通過校內網中王建的好友信息,配合目標qq空間中的照片,確定其真實姓名及資料,參見下圖:
表1-1-3
可能具有利用價值的信息 |
|
目標姓名 |
張磊 |
目標學校 |
魯東大學 |
(8)通過已獲得目標的真實姓名和所在學校,通過google搜索查詢,可得到如下結果:
(9)進入網頁,分析詳細信息,獲得目標的中學信息及畢業年份,參見下圖:
(10)我們繼續使用google,使用其姓名、大學、中學信息進行信息蒐集,甚至發現了此人更多的敏感信息,參見下圖:
(11)請將蒐集到目標的個人信息填入下表:
表1-1-4
可能具有利用價值的信息 |
|
姓名 |
張磊 |
性別 |
男 |
手機號碼 |
13515455767 |
郵箱 |
|
生日 |
6月21日 |
血型 |
B型 |
生肖 |
兔 |
星座 |
雙子座 |
省份 |
山東 |
城市 |
泰安 |
大學名稱 |
魯東大學 |
大學入學年份 |
2006年 |
大學院系 |
交通學院 |
大學班級 |
機械本0603班 |
中學名稱 |
山東省泰安一中 |
中學班級 |
03級8班 |
中學畢業年份 |
2006年 |
思考題:舉出保護個人敏感信息的方法(最少三點)。
1、對敏感數據做單向變換後再保存。系統不直接保存敏感數據,只作匹配用。
2、利於新型加密技術處理數據,比如同態加密技術。
3、對個人數據進行分類,確定個人信息數據等級,比如:一般信息,重要信息,關鍵信息。
4、用戶應該有控制自身個人信息被訪問和被利用的最高權限。
5、用戶應該保存私鑰,且此私鑰能被更換,如果更換私鑰,與用戶相關的敏感數據會一併改變。
密碼心理學攻擊
本實驗設置了host1、host2、host3、host4、host5、host6六個主機用戶,此六個用戶的用戶密碼是根據實驗1|練習一所蒐集到的用戶敏感信息設置的,具體內容可參見表3-1-1。
表3-1-1 敏感信息
可能具有利用價值的信息 |
|
姓名 |
張磊 |
性別 |
男 |
手機號碼 |
13515455767 |
郵箱 |
|
生日 |
6月21 |
血型 |
B |
生肖 |
兔 |
星座 |
雙子座 |
省份 |
山東 |
城市 |
泰安 |
大學名稱 |
魯東大學 |
大學入學年份 |
2006 |
大學院系 |
機械學院 |
大學班級 |
0603班 |
中學名稱 |
山東泰安第一中學 |
中學班級 |
03級8班 |
中學畢業年份 |
2006年 |
根據表3-1-1中給出的相應信息,對新建的六個賬戶密碼進行猜解。
解密:
根據題目給出的一些被攻擊者的個人信息,我們有理由猜想其密碼或密碼中的一部分同其人名、郵箱、手機號、生日、入學年月等個人私密信息高度相關。所以我猜想可能會有以下的一些組合,並將其寫入superdic.txt文件,作爲密碼字典。這裏當然是一個不斷嘗試、猜解的過程。
利用LC5軟件,結合我們自己猜測出的密碼字典和其本身帶有的常見數字、字母組合,可以破解出這6個賬戶的密碼。運行結果如下:
最終的密碼錶如下:
表3-1-2
賬戶 |
密碼 |
host1 |
ZHANGLEI |
host2 |
19870621 |
host3 |
13515455767 |
host4 |
ZHANGLEI123 |
host5 |
ZL0621 |
host6 |
LEILEIAIDENI |
思考題:如何提高你的密碼強壯性,以避免黑客利用密碼心理學猜解你的密碼?
1、確保由數字,字母(大寫和小寫)字符以及特殊符號和類似字符組成的複雜密碼
2、定期更改密碼
3、使用先前未使用的新密碼
【小結或討論】
首先說敏感信息蒐集實驗。其實這不能算是一個真正的專業實驗吧,更多的是想讓我們意識到個人信息泄漏的情況,並結合實驗二來告訴我們個人隱私泄露帶來的嚴重後果。實驗的時候我嘗試這搜索自己的名字。本來覺得不會有什麼有價值的信息的,搜索一番的結果卻讓我很是意外。我搜索到了自己的性別、生日、星座;在一個比賽介紹的網頁上還看到了自己當時的合照;在初中的一份獎勵名單上還能知道我的初中;在文庫裏的一份學生會信息表上,我甚至還看到了自己的手機號、QQ號等隱私信息。這些都讓我大爲詫異,自以爲平時信息沒有隨便泄露,可是一搜索還能搜出來很多。原來不知不覺中我們就陷入了信息泄露的漩渦。
密碼心理分析實驗簡單來說就是利用目標的一些已知的個人信息來猜解其各個賬戶的密碼。這個其實利用了大部分人的一個常見心理,就是利用自己的姓名、生日、電話、郵箱這種有明顯的個人色彩的常用信息來作爲密碼,這也就給了不法分子可乘之機。在知道目標的一些隱私信息後,我們居然能很快破譯出他的6個不同賬戶的密碼,這給我們自己敲響了警鐘。