一些路由器的默认初始密码

  全向QL168010.0.0.2,用户名admin密码是qxcomm1680,管理员密码是qxcommsupport

  全向QL1880192.168.1.1,用户名root密码是root

  全向QL168810.0.0.2,用户名admin;密码为qxcomm1688

  TP-LINKTD-8800在IE输入192.168.1.1,用户名admin,密码为admin.

  合勤zyxel642telnet192.168.1.1密码1234

  EcomED-802EG在IE输入192.168.1.1用户名和密码都为root

  神州数码6010RA在IE输入192.168.1.1 用户名ADSL密码为ADSL1234

  华为SmartAXMT800初始IP是192.168.1.1用户名和密码都为admin

  伊泰克http://192.168.1.1用户名:supervisor密码:12345

  华硕http://192.168.1.1用户名:adsl密码:adsl1234

  阿尔卡特http://192.168.1.1一般没有密码

  同维DSL699Ehttp://192.168.1.1用户名:ROOT密码为:ROOT

  大亚DB102http://192.168.1.1用户名:admin密码:dare

  WST的RT1080http://192.168.0.1username:rootpassword:root

  WST的ART18CXhttp://10.0.0.2username:adminpassword:conexant

  username:userpassword:password

  全向qxcomm1688http://192.168.1.1高端设置密码是:qxcommsuport

  全向qxcomm1680http://192.168.1.1用户:qxcomm1680密码:qxcomm1680

  实达

  实达ADSL2110-EHaddress:192.168.10.1user:adminpwd:starnetadsl

  V3.2 rootroot

  V5.4 rootgrouter

  泛德用户:admin密码:conexant

  东信Ea700http://192.168.1.1用户名:空密码:password

  broadmax的hsa300ahttp://192.168.0.1username:broadmax

  password:broadmax

  长虹ch-500Ehttp://192.168.1.1username:rootpassword:root

  重庆普天CPADSL03http://192.168.1.1username:rootpassword:root

  台湾突破EA110RS232:38400[url]http://192.168.7.1username:SLpsw:SL

  etek-td的ADSL_T07L006.0http://192.168.1.1UserName:supervisor

  Password:12345

  GVC的DSL-802E/R3Ahttp://10.0.0.2username:adminpassword:epicrouter

  username:userpassword:password

  科迈易通km300A-1http://192.168.1.1username:password:password

  科迈易通km300A-Ghttp://192.168.1.1username:rootpassword:root

  科迈易通km300A-Ausername:rootoradminpassword:123456

  sunrise的SR-DSL-AEhttp://192.168.1.1username:adminpassword:0000

  sunrise的DSL-802E_R3Ahttp://10.0.0.2username:admin

  password:epicrouter

  username:userpassword:password

  UTStar的ut-300Rhttp://192.168.1.1 username:admin

  password:utstar

  湖北邮通IP:10.0.0.2 Username:admin Password:epicrouter

  亨威NSM500网速通IP:192.168.1.1 Username:root Password:root

  艾玛701g192.168.101.1192.168.0.1用户名:admin密码:admin

  用户名:SZIM 密码:SZIM

  艾玛701H192.168.1.110.0.0.2用户名:admin密码:epicrouter

  实达2110EHROUTER 192.168.10.1 用户名:user密码:password

  用户名:root密码:grouter

  神州数码/华硕:用户名:adsl密码:adsl1234

  全向:用户名:root密码:root

  普天:用户名:admin密码:dare

  e-tek用户名:admin密码:12345

  zyxel用户名:anonymous密码:1234

  北电用户名:anonymous密码:12345

  大恒用户名:admin密码:admin

  大唐用户名:admin密码:1234

  斯威特用户名:root密码:root

  用户名:user密码:user

  中兴用户名:adsl密码:adsl831

欺骗的艺术

欺骗的艺术

The Art of Deception

凯文•米特尼克著

 

前言

人之初

从盗打电话到黑客

成为社会工程师

最后的想法

内容介绍

第一部 幕后的故事

第一章 安全软肋

第二部 攻击者的手段

第二章 无害信息的价值

第三章 正面攻击——直接索取

第四章 建立信任

第五章 我来帮你

第六章 你能帮我吗?

第七章 假冒网站和危险附件

第八章 利用同情、内疚和胁迫

第九章逆向骗局

第十章进入内部

第十一章综合技术与社会工程学

第十二章攻击新进员工

第十三章聪明的骗局

第十四章商业间谍

第十五章信息安全知识与培训

第十六章推荐的信息安全策略 

附件列表

 

继续阅读欺骗的艺术

如何安全的存储密码

  过去一段时间来,众多的网站遭遇用户密码数据库泄露事件,这甚至包括顶级的互联网企业–NASDQ上市的商务社交网络Linkedin,国内诸如CSDN一类的就更多了。

  层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃。

  那么在选择密码存储方案时,容易掉入哪些陷阱,以及如何避免这些陷阱?我们将在实践中的一些心得体会记录于此,与大家分享。

如何安全的存储密码-1

  菜鸟方案

  直接存储用户密码的明文或者将密码加密存储。

  曾经有一次我在某知名网站重置密码,结果邮件中居然直接包含以前设置过的密码。我和客服咨询为什么直接将密码发送给用户,客服答曰:“减少用户步骤,用户体验更好”;再问“管理员是否可以直接获知我的密码”, 客服振振有词:“我们用XXX算法加密过的,不会有问题的”。 殊不知,密码加密后一定能被解密获得原始密码,因此,该网站一旦数据库泄露,所有用户的密码本身就大白于天下。

  以后看到这类网站,大家最好都绕道而走,因为一家“暴库”,全部遭殃。

  入门方案

如何安全的存储密码-2

  将明文密码做单向哈希后存储。

  单向哈希算法有一个特性,无法通过哈希后的摘要(digest)恢复原始数据,这也是“单向”二字的来源,这一点和所有的加密算法都不同。常用的单向哈希算法包括SHA-256,SHA-1,MD5等。例如,对密码“passwordhunter”进行SHA-256哈希后的摘要(digest)如下:
bbed833d2c7805c4bf039b140bec7e7452125a04efa9e0b296395a9b95c2d44c

  可能是“单向”二字有误导性,也可能是上面那串数字唬人,不少人误以为这种方式很可靠, 其实不然。

  单向哈希有两个特性:

  1)从同一个密码进行单向哈希,得到的总是唯一确定的摘要

  2)计算速度快。随着技术进步,尤其是显卡在高性能计算中的普及,一秒钟能够完成数十亿次单向哈希计算

  结合上面两个特点,考虑到多数人所使用的密码为常见的组合,攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合,然后与数据库中的摘要进行比对即可获得对应的密码。这个摘要组合也被称为rainbow table。

  更糟糕的是,一个攻击者只要建立上述的rainbow table,可以匹配所有的密码数据库。仍然等同于一家“暴库”,全部遭殃。以后要是有某家厂商宣布“我们的密码都是哈希后存储的,绝对安全”,大家对这个行为要特别警惕并表示不屑。有兴趣的朋友可以搜索下,看看哪家厂商躺着中枪了。

  进阶方案

如何安全的存储密码-3

  将明文密码混入“随机因素”,然后进行单向哈希后存储,也就是所谓的“Salted Hash”。

  这个方式相比上面的方案,最大的好处是针对每一个数据库中的密码,都需要建立一个完整的rainbow table进行匹配。 因为两个同样使用“passwordhunter”作为密码的账户,在数据库中存储的摘要完全不同。

  10多年以前,因为计算和内存大小的限制,这个方案还是足够安全的,因为攻击者没有足够的资源建立这么多的rainbow table。 但是,在今日,因为显卡的恐怖的并行计算能力,这种攻击已经完全可行。

  专家方案

如何安全的存储密码-4

  故意增加密码计算所需耗费的资源和时间,使得任何人都不可获得足够的资源建立所需的rainbow table。

  这类方案有一个特点,算法中都有个因子,用于指明计算密码摘要所需要的资源和时间,也就是计算强度。计算强度越大,攻击者建立rainbow table越困难,以至于不可继续。

  这类方案的常用算法有三种:

  1)PBKDF2(Password-Based Key Derivation Function)

  PBKDF2简单而言就是将salted hash进行多次重复计算,这个次数是可选择的。如果计算一次所需要的时间是1微秒,那么计算1百万次就需要1秒钟。假如攻击一个密码所需的rainbow table有1千万条,建立所对应的rainbow table所需要的时间就是115天。这个代价足以让大部分的攻击者忘而生畏。

  美国政府机构已经将这个方法标准化,并且用于一些政府和军方的系统。 这个方案最大的优点是标准化,实现容易同时采用了久经考验的SHA算法。

  2) bcrypt

  bcrypt是专门为密码存储而设计的算法,基于Blowfish加密算法变形而来,由Niels Provos和David Mazières发表于1999年的USENIX。

  bcrypt最大的好处是有一个参数(work factor),可用于调整计算强度,而且work factor是包括在输出的摘要中的。随着攻击者计算能力的提高,使用者可以逐步增大work factor,而且不会影响已有用户的登陆。

  bcrypt经过了很多安全专家的仔细分析,使用在以安全著称的OpenBSD中,一般认为它比PBKDF2更能承受随着计算能力加强而带来的风险。bcrypt也有广泛的函数库支持,因此我们建议使用这种方式存储密码

  3) scrypt

  scrypt是由著名的FreeBSD黑客 Colin Percival为他的备份服务 Tarsnap开发的。

  和上述两种方案不同,scrypt不仅计算所需时间长,而且占用的内存也多,使得并行计算多个摘要异常困难,因此利用rainbow table进行暴力攻击更加困难。scrypt没有在生产环境中大规模应用,并且缺乏仔细的审察和广泛的函数库支持。但是,scrypt在算法层面只要没有破绽,它的安全性应该高于PBKDF2和bcrypt。