文/楊望

密碼安全小工具系列談 （一） “脫庫門”敲警鐘 “一號(hào)通”問題求解

文/楊望

隨著2011年眾多“脫庫門”爆發(fā)，世界上人數(shù)最多的中國(guó)網(wǎng)民們終于從虛假的安全夢(mèng)中醒來，理解了安全廠商長(zhǎng)期以來面對(duì)強(qiáng)大的地下經(jīng)濟(jì)體系時(shí)苦苦支撐的壓力，明白了自己多一點(diǎn)安全常識(shí)才能為這場(chǎng)道高一尺、魔高一丈的安全戰(zhàn)爭(zhēng)贏得一點(diǎn)小小的勝利機(jī)會(huì)。這次的“脫庫門”中焦點(diǎn)問題集中于兩方面：一方面是用戶習(xí)慣性的“一號(hào)”走天下，另一方面是大量的網(wǎng)站“一密”看萬號(hào)。面對(duì)互聯(lián)網(wǎng)眾多需要用戶名和密碼的網(wǎng)站，網(wǎng)民無法靠人力來記住所有網(wǎng)站的密碼，最簡(jiǎn)單的方法就是為所有的網(wǎng)站都使用統(tǒng)一的用戶名和密碼，這樣將密碼的維護(hù)成本降到了最低，但也將密碼出問題時(shí)的安全成本升到了最高，一旦黑客們從一個(gè)安全等級(jí)較低的網(wǎng)站拿到了用戶的賬戶，即時(shí)其他網(wǎng)站的安全等級(jí)再高，黑客們也可以輕輕松松使用已獲得的用戶名和口令去嘗試，并有很大的概率成功登入網(wǎng)站。因此就用戶而言，需要一款成熟的口令管理軟件來維護(hù)自己的口令，并盡量在不同的網(wǎng)站上使用不同的用戶名和口令。另一方面，大多數(shù)的網(wǎng)站沒有仔細(xì)考慮過如何盡量安全地保存用戶名與口令，通常只使用簡(jiǎn)單的哈?；蛘呒用芩惴▉肀ＷC賬戶的安全，一旦網(wǎng)站的數(shù)據(jù)庫泄漏，很容易被黑客通過彩虹表或統(tǒng)計(jì)方法進(jìn)行破解。本期文章將先討論如何利用KeePass工具來解決常見的用戶“一號(hào)通”問題。

KeePass的全稱是KeePass Password Safe，是由Dominik Reichl開發(fā)的一款開源的密碼管理軟件。KeePass的網(wǎng)站是http://keepass.info/，作為開源軟件，該軟件可以直接從網(wǎng)站下載并進(jìn)行安裝。

KeePass的功能

密碼管理：密碼管理軟件最基本的功能自然是密碼的管理。KeePass以數(shù)據(jù)庫的形式對(duì)密碼進(jìn)行管理和存儲(chǔ)，每個(gè)用戶在使用KeePass時(shí)需要先建立自己的密碼數(shù)據(jù)庫，在密碼庫中，用戶可以為不同類型的密碼建立不同的分組（Group），比如網(wǎng)絡(luò)、服務(wù)器、網(wǎng)站，在分組之下可以再設(shè)立子分組，比如網(wǎng)站可以再分為郵件網(wǎng)站、購物網(wǎng)站，用戶可以自己添加和修改分組的信息。

在組之下，是具體保存的每個(gè)網(wǎng)站或服務(wù)器的賬戶信息。每個(gè)賬戶包含了對(duì)應(yīng)的網(wǎng)站名、用戶名和密碼，KeePass會(huì)對(duì)用戶的密碼進(jìn)行一個(gè)密碼強(qiáng)弱的判定。

為了方便用戶輸入密碼記錄，KeePass提供了多種格式的密碼導(dǎo)入功能，比如可以直接將瀏覽器的密碼記錄導(dǎo)入密碼數(shù)據(jù)庫中，省去了用戶再次輸入的麻煩。

自動(dòng)填充：盡管有了一個(gè)統(tǒng)一的密碼記錄存放的地方，但如果要求用戶每次都去打開軟件，查看密碼記錄再登錄相應(yīng)系統(tǒng)的話，用戶也是不堪其擾。所以KeePass最重要的功能是為用戶提供了自動(dòng)填充的功能。當(dāng)用戶打開不同的網(wǎng)站，或者試圖登錄不同的服務(wù)器時(shí)，KeePass可以根據(jù)瀏覽器或系統(tǒng)窗口的標(biāo)題欄信息，從密碼庫中找到對(duì)應(yīng)的密碼記錄，并根據(jù)自動(dòng)登錄腳本域的定義，來完成自動(dòng)登錄的過程。剛才KeePass密碼賬戶記錄界面中的title信息就是KeePass用于選擇對(duì)應(yīng)密碼記錄使用的。

圖1 KeePass界面圖

圖2 KeePass賬戶記錄界面圖

KeePass不僅僅對(duì)瀏覽器有效，對(duì)所有使用標(biāo)準(zhǔn)Windows窗口作為界面的程序都是有效的，比如作為系統(tǒng)管理員，我們?nèi)粘Ｐ枰褂胮utty登錄不同的服務(wù)器，KeePass一樣可以根據(jù)putty的標(biāo)題欄來選擇對(duì)應(yīng)服務(wù)器的密碼記錄信息。針對(duì)不同系統(tǒng)有不同的輸入要求，KeePass也提供了定制服務(wù)。如圖3所示，自動(dòng)填充的配置分為兩部分，Target Window指定對(duì)應(yīng)的窗口標(biāo)題，該域的內(nèi)容缺省為記錄界面輸入的title內(nèi)容，Keystroke Sequence對(duì)應(yīng)輸入的序列，圖中顯示的輸入序列為缺省設(shè)置，即先輸入用戶名，然后輸入Tab鍵跳轉(zhuǎn)到下一個(gè)輸入框，最后輸入密碼。有了自動(dòng)填充功能，用戶就真正無需記錄任何用戶名和密碼信息，可以完全依賴KeePass來完成密碼輸入工作。

密碼生成：如果完全不需要記憶密碼，那么用戶就完全可以實(shí)現(xiàn)一站一密，防止自己的密碼信息在一處泄漏就導(dǎo)致自己在所有站點(diǎn)的信息泄漏。同時(shí)用戶也可以使用高強(qiáng)度的難記憶的密碼。KeePass同時(shí)還提供了自動(dòng)的高強(qiáng)度密碼生成功能，用戶可以指定密碼生成的字符集、長(zhǎng)度，KeePass自動(dòng)生成候選的密碼列表。

圖3 KeePass自動(dòng)填充配置信息

KeePass的安全性

作為密碼管理軟件，處理密碼的存儲(chǔ)與管理，更重要的是保證密碼的安全，不能讓黑客們輕易獲取到軟件中保存的密碼。KeePass通過多方面的安全設(shè)置來保證即使用戶的機(jī)器被黑客們控制了，也無法輕易地通過后門程序來獲取用戶的密碼。

密碼的安全首先是存儲(chǔ)的安全，存儲(chǔ)的安全性包括兩方面，外存即硬盤文件的安全性和內(nèi)存的安全性。對(duì)于密碼庫文件，KeePass使用密碼和密鑰加密兩種手段進(jìn)行保護(hù)，通過使用高強(qiáng)度的加密算法防止攻擊者輕易破解密碼庫。另一方面KeePass在使用時(shí)必然要把密碼拷貝進(jìn)內(nèi)存，為了防止黑客通過內(nèi)存搜索或控件后門等技術(shù)進(jìn)行攻擊，KeePass采用了安全密碼控件，并對(duì)內(nèi)存中的密碼信息進(jìn)行加密處理，讓密碼信息在內(nèi)存中也無跡可尋。

另一方面是如何在自動(dòng)填充時(shí)保證密碼輸入的安全性，因?yàn)榇藭r(shí)輸入的是明文的密碼信息。KeePass也巧妙地設(shè)計(jì)了雙通道輸入技術(shù)來對(duì)抗常規(guī)的鍵盤鉤子技術(shù)。KeePass預(yù)先會(huì)像剪貼板中拷貝包含有密碼信息的一段序列，然后從中選取密碼信息拷貝進(jìn)入對(duì)應(yīng)的輸入域。這樣如果使用鍵盤記錄后門只能獲得一系列的Ctrl+C和Ctrl+V輸入。即使黑客同時(shí)監(jiān)聽剪貼板的輸入，由于KeePass把密碼信息打亂，黑客也很難獲取正確的密碼信息。當(dāng)然雙通道技術(shù)只能說提供了比一般的密碼輸入方式更高的安全性，如果黑客針對(duì)K e e P a s s的操作設(shè)計(jì)專門的后門程序，KeePass依然有可能在自動(dòng)填充時(shí)泄漏信息。

KeePass為網(wǎng)民們提供了一種便捷和安全的密碼管理方式，但真正要實(shí)現(xiàn)安全，還需要用戶真正的去盡量實(shí)現(xiàn)一站一密，這樣才可能將重要賬戶信息被攻擊的可能性降到盡可能的低。文章的最后要感謝東北大學(xué)的溫占考老師，因?yàn)楫?dāng)年我接觸到KeePass軟件并學(xué)會(huì)使用的技巧，都是通過他的傳授，今天寫這篇文章，也是希望更多的朋友和同事能利用這個(gè)工具提高自己的密碼等級(jí)，并更好地用它進(jìn)行我們?nèi)粘５墓ぷ鳌?/p>

（作者單位為東南大學(xué)計(jì)算機(jī)系）

上海交大年內(nèi)籌建HPC平臺(tái) 峰值性能106萬億次

本刊訊 日前，英特爾公司宣布推出英特爾“至強(qiáng)”處理器E5-2600/1600產(chǎn)品家族。

發(fā)布會(huì)上，上海交通大學(xué)網(wǎng)絡(luò)信息中心高性能計(jì)算部主任林新華分享了他對(duì)于校級(jí)IT系統(tǒng)建設(shè)的一些看法。

“怎樣給用戶提供非常好的IT服務(wù)？IT要超越原有的方式來做?！绷中氯A說。

他認(rèn)為至強(qiáng)E5處理器將能夠在高性能計(jì)算領(lǐng)域廣泛應(yīng)用?！拔覀兇蛩阈陆ㄒ粋€(gè)高性能計(jì)算中心。在使用KLAPS應(yīng)用程序進(jìn)行測(cè)試時(shí)，至強(qiáng)E5的性能比前代產(chǎn)品提高了82%。”林新華表示，“這還是程序未經(jīng)優(yōu)化時(shí)的測(cè)試結(jié)果，優(yōu)化之后的性能可能再提升兩倍?！边@種性能提升意味著，在建立同樣浮點(diǎn)峰值的高性能計(jì)算集群時(shí)，應(yīng)用至強(qiáng)E5處理器能節(jié)省一半以上的節(jié)點(diǎn)，減少一半以上的網(wǎng)絡(luò)端口數(shù)。“簡(jiǎn)單估算的話，應(yīng)該可以降低一半的總體擁有成本。”林新華主任說。據(jù)悉，上海交通大學(xué)今年將建立一個(gè)峰值性能為106萬億次的高性能云計(jì)算平臺(tái)，至強(qiáng)E5處理器將作為其中的計(jì)算部分核心。根據(jù)至強(qiáng)E5處理器的性能，預(yù)計(jì)該高性能計(jì)算節(jié)點(diǎn)數(shù)在300-500個(gè)之間。英特爾(中國(guó))有限公司資深企業(yè)客戶經(jīng)理李輝進(jìn)一步表示，至強(qiáng)E5處理器有很多技術(shù)變化，包括單核性能提升、處理器內(nèi)核數(shù)目增加近30%、應(yīng)用英特爾集成I/O技術(shù)等。他說，“對(duì)于真實(shí)應(yīng)用性能，至強(qiáng)E5會(huì)有非常大的提高?！?/p>

李輝表示，英特爾在高性能計(jì)算領(lǐng)域，不僅提供了高質(zhì)量的硬件和CPU，還在應(yīng)用軟件方面投入了大量資源?！霸诟咝阅苡?jì)算領(lǐng)域的應(yīng)用軟件有很多不同類別和不同的大行業(yè)，例如氣象、生命科學(xué)、化學(xué)、物理等，英特爾與每一個(gè)行業(yè)的應(yīng)用專家都有非常多的交流。因此，英特爾可以將各個(gè)領(lǐng)域頂尖專家的經(jīng)驗(yàn)通過研討會(huì)、行業(yè)會(huì)議等形式告訴大家，讓我們的用戶知道，如何在目前的硬件平臺(tái)上達(dá)到更高性價(jià)比。”