看我如何分析网站运营数据的真伪?

作者简介

战龙，卫士通攻防实验室核心成员，安全研究员。

现从事通信保密和密码技术的研究,研究领域涉及密码破解，口令强度校验，系统安全加固。

曾就职多家安全企业，在密码破解方面积累了丰富的经验。

前言

2016年数据泄露事件层出不穷，五月份就爆出LinkedIn的1.17亿条登录凭据，4.27亿条MySpace用户凭据，被黑客分别以5比特币和6比特币的价格出售。

2016年7月，有人泄露了2016年3月18日之前的某海外网站的数据库，并将其公布在了互联网上。

网上公布的数据比较杂乱，我们本着对用户密码使用习惯进行分析的目的，对数据进行了整理，删除了敏感信息，仅保留了密码字段。

此海外网站的数据库来自于互联网，本文对其进行密码行为分析，只是本着安全研究的目的，以此来增强大家的安全意识和密码使用习惯。在此，我们郑重声明，反对任何非法的，未经授权的渗透测试活动，特别是拖库行为。

密码预处理

首先，我们使用AWK文本处理工具，对密码进行预处理，提取Hash值

awk -F "," '{a[$2]++}END{for(i in a){print i,a[i] }}' xxx.media\private\database.sql > passwords.log

然后，按重复率进行排序

sort -k 2 passwords.log > passwords.sort

密码加密方式分析

首先，我们需要分析一下密码的加密算法。

这里，我们对弱密码"123456"计算md5值，经过比对发现，这一md5值与第19个Hash值相同，所以基本可以确定其密码使用的是单次md5加密，没有加salt，也没有进行二次md5，这也就导致其密码很容易被破解为明文。

密码统计分析

从上表我们可以看出，有85万用户的口令为空，口令为常见弱口令(888888,17178899,123456)的有27万。

除此之外，剩下的更多的用户口令都是以fwe，qwe开头，以123456的变形作为结尾，不同口令在数量上也大致相同。

虽然都是弱密码，但是上述的弱口令与我们常见的弱口令却存在很大差异。

附：

国内常见弱口令

000000，111111，11111111，112233，123123，123321，123456，12345678，654321，666666，888888，abcdef，abcabc，abc123，a1b2c3，aaa111，123qwe，qwerty，qweasd，admin，password，p@ssword，passwd，iloveyou，5201314

国外常见若口令

password，123456，12345678，qwerty，abc123，monkey，1234567，letmein，trustno1，dragon，baseball，111111，iloveyou，master，sunshine，ashley，bailey，passw0rd，shadow，123123，654321，superman，qazwsx，michael，football

通过以上分析，再想到此App短期内快速攀升到美国，香港，印尼，台湾，新加坡等地的App Store的免费App的排行榜前列。

由此，我们是否可以有理由怀疑，这些用户是不是真实用户呢？这些用户很大可能是为了刷排名榜而存在的僵尸用户。

密码长度分析

总密码量为20463553(约2000万)，其中大部分为8位密码，8位密码总计为14276613(约1400万)，占全部密码的67.77%。

此App的密码策略要求密码长度为8-20位，所以大部分人选择了8位，这样就不难理解了。因为过于长并且没有任何含义的口令，用户是比较难记忆的。

结论：

①.8，9，10，11位密码占总密码数的84%。

②.按密码长度占比由高自低： 8 > 10 > 9 > 6 > 7。

PS:虽然密码限制的长度需要至少八位，但是还是能发现有小于8位长度的密码存在。

③.8位密码比例为67.77%。

密码组成结构分析

由上图分析可以得出，8位长度的密码中，用纯数字组成密码的情况很少，更多的是由数字和字母进行混合的密码。

用l代表字符，d代表数字，我们对各种长度的混合密码进行一下结构分析。

经验与教训

本网站的用户口令仅计算了一次md5就储存在了数据库之中，这是非常不安全的。我们应当采用更加安全的Hash函数，并且对用户口令进行加salt处理等，以此来加强网站的数据保护能力。

免责声明：本文的目的是进行安全研究和提高用户安全意识，数据库来自于网络公开数据。

更多精彩优质内容请关注微信公众号：301在路上

合作请联系：微信号 2036234（备注：单位＋姓名）