你的个人信息安全吗?
前言
最近发现学校的就业系统有弱密码, 只要能输入学号和默认密码就能查看全校所有的个人信息. 但是, 我并不知道其他二级院的学号区间, 如果能知道且把所有的个人信息统计下来, 或许可以统计一个XXX学院的个人信息数据库会有大用处. 之前利用个人信息可以免费使用校园网. 校园网3个月网费是250多, 网速也才3mb/s很慢而且还非常贵
由于目前能力有限, 只能获取到 信息工程学院 中的学生信息, 针对于其他二级学院的学生个人信息我没有任何简单的方法, 因为人脉有限, 最后只能靠自己想办法.
希望这篇文章能加强大家的密码安全意识. 不要使用 默认密码 和 非常简单的密码 . 针对涉及金钱的软件大家可以使用密码生成器来保证你的信息安全. 当你还在认为自己的信息没什么值钱的时候, 或许别人拿到你的信息正在赚取额外的巨大利益.
规律
最近即将面临毕业学校推出了在线就业系统, 账号是学号, 密码则是固定的. 为此花了点力气我拿到了 信息工程学院 的全部学生的个人信息. 然后我推出了几种可能性: 根据学号的范围来穷举其他二级院的学号和根据学号的递减穷举往届学生的个人信息.
| 学号 | 姓名 | 班级 |
|---|---|---|
| 169051 | 杜X楠 | T1701 |
| 177112 | 郭X谊 | T1701 |
| 177215 | 刘X元 | T1701 |
| 177399 | 董X光 | T1701 |
| 19103020327 | 曹X峰 | B1903 |
根据这些信息我做出了以下尝试:
查看学号是否遵循着某种规律
177399 - 177215 = 184
177215 - 177112 = 103
177112 - 169051 = 8061
184 - 103 = 81
感觉好像没有什么规律
为此, 我想到了一个办法: 往下穷举学号, 方法是每次递减-10个数值尝试, 且在10左右每次-1尝试到7然后再继续尝试下一个整数.
比如:
169051 - 11 = 169040
169040 - 10 = 169030
169030 - 01 = 169029
当我尝试到169029时, 就成功进入了其他学院的学生就业系统, 本来我以为本届学号会是以递增的方式, 而往届学生的学号应该以递减的方式排序的. 当我成功进入系统时, 我的第一个反应就是: 或许往届的学生信息已经不再就业系统范围内了, 从而根据已有信息推算: 数值越高的是新生不再就业范围内, 所以忽略. 然而值越小则可以肯定是本届所有学生的个人信息范围.
走到这一步, 我发现在每一个班级里面的学生学号并不是连续, 每个人之间相差十几个数值甚至几千个数值.
于是乎我想到了当初学习数据结构时, 老师讲的顺序栈的原理, 为此我想到的就是学号必然是有序的.
1 - 177086 - T1702 - 计算机信息管理 - 信息工程学院
2 - 177132 - T1702 - 计算机信息管理 - 信息工程学院
3 - 177144 - T1702 - 计算机信息管理 - 信息工程学院
这三行信息是 T1702 班级学生的三个班级连续的学生信息, 那么问题就在于为什么之间相差的数没有规律呢?
假设学号的信息是有规律的且中间相差的数值或许会是其他二级学院或者是其他班级的学生.
1 - 177081 - T1701 - 药品生产技术
...
2 - 177080 - T1703 - 会计
...
3 - 177086 - T1702 - 计算机信息管理
由于论证资料有限, 所获得的资料只有目前这两个
由此, 可得出我的推论是正确的.
个人信息
这需要从目前已掌握的情况来分类:
- QQ密码的穷举
- 微信密码的穷举
- 其他账号密码
- 个人信息的价值
- 个人信息的重要性
- QQ和微信
社交软件的重复利用
Q: 为什么不是破解QQ密码?
A: 那需要大量的技术和经验做支撑, 我还没有达到那种程度
Q: 社交软件的重复利用是指什么?
A: 二次获取个人信息的途径.
QQ密码的穷举
我需要从以下几个方面进行分析:
- 中国最发达的行业是 服务行业
- 90% 的人都玩游戏
- 现代人写字的习惯是 从左到右
- 人们在为某件事物取名字时更加偏向于自己 最熟悉的信息
- 人们在做大量重复性工作时会产生一种动机 让事情简单化
- 人们更加的懒惰
- QQ密码的穷举
中国最发达的行业是 服务行业
网吧 你可以在电脑上点餐, 会有人给你送来
餐饮 你可以在家不出门就能吃上大家上买
快递 足不出门就可以拿到包裹
90% 的人都玩游戏
射击游戏 绝大部分射击游戏的人物移动按键都是WASD Ctrl Shift Space
竞速游戏 绝大多数竞速游戏的车辆移动按键是 Up Left Down Right
现代人写字的习惯是 从左到右
目前, 大多数文档都是从左到右, 除去一些特殊文档: 对联 或者 书画之类的才是 从右到左
人们在为某件事物取名字时更加偏向于自己 最熟悉的信息
游戏名 一般情况下的名字都是我们最熟悉的 关键字
变量名 围绕主体而命名
密码 我们会用自己的生日或者手机号之类的最熟悉的信息来当做密码
人们在做大量重复性工作时会产生一种动机 让事情简单化
每次开机都要打开网易云音乐 我们可以设置网易云音乐为开机自启
每次开机都要打开QQ 我们可以设置QQ为开机自启
每次都要外出买饭 我们可以在线点餐, 送货上门
人们更加的懒惰
随着科技的提升, 自动化和更加便利的生活方式让我们大多数的工作都被省略甚至简化.
QQ密码的穷举
现在已经得知 人性的弱点 中的统一缺陷, 为此, 我们拿到个人信息之后换位思考一个懒人应该怎么设置密码.
射击游戏 经常玩射击游戏的人, 每次把手放在电脑上时都会习惯的将左手放在WASD这四个按键上.
竞速游戏 经常玩竞速游戏的人, 每次把手放在电脑上时都会习惯性的将右手放在 Up Down Left Right 这四个按键上.
人们更加偏向于容易的事情 因为容易的事情其本身不需要自身在通过后天的学习而获得, 也不需要耗费过多的精力, 这种事情都在自身能力范围之内, 做起来非常容易. 如果是设置密码, 那么密码从整体上来说应该是: 简单, 连续, 有规律 数位一般在10位以下. 因为, 人在设置密码时所记忆密码的是短时记忆, 也就是说如果密码过于复杂需要将密码过渡到长时记忆区这需要消耗很多的时间, 而连续性是因为如果在短时记忆时所记忆的数据不连续会很容易忘记, 而规律则是短时记忆主导性作用, 因为如果一旦掌握规律就可以在很长时间后也能想起来完整的密码, 大脑会将有规律的且意义非凡的数据存储在长时记忆区. 而记忆的数位在10位以下, 是因为普通人群在短时记忆的最大位数一般在10位以下.
根据以上分析可以得出密码的几种可能性:
12345678
StringOD
19980913
StringOD19980913
19908913StringOD
1234StringOD
qw12345678
as12345678
zx12345678
asStringOD
as150xxxxxx71
qwe12345678
EchoItem
然后去逐个尝试.
微信密码的穷举
同理, 一般情况人们会将微信的密码设置的和QQ的密码相同.
或者你需要使用弱密码字典进行穷举.
其他账号密码
我们可以将我们所列出来可能的密码进行尝试, 我想一个人使用的账户达到一定的量时, 不同的账号密码会有70%的可能性是相同的.
个人信息的价值
就目前我对个人信息的利用来看:
- 校园网由收费成为免费
- 每个人都会给你一些小费
- 信息的综合会成就更大的价值
目前, 我正在执行第3个观点, 我认为信息的综合应该可以做到以前只会想想的事情.
个人信息的重要性
你的个人信息的泄露就是别人所获得的财富.
QQ和微信的重复利用
每个人都会有各种工作群和学习群, 每个群中都有一些 文档 或者 表格之类的重要数据, 如果你的QQ被别人利用, TA们会重复利用你的社交软件来获取一些群文档, 然后进行个人信息或关键信息统计. 这是一个非常可怕的事情.
