安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34680 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 41 讲
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
时长 09:32
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
时长 14:24
02 | 安全原则:我们应该如何上手解决安全问题?
时长 17:30
03 | 密码学基础:如何让你的密码变得“不可见”?
时长 17:52
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
时长 16:26
05 | 访问控制:如何选取一个合适的数据保护方案?
时长 16:22
Web安全 (7讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
时长 20:31
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
时长 15:14
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
时长 18:27
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
时长 16:35
10 | 信息泄露:为什么黑客会知道你的代码逻辑?
时长 11:14
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
时长 13:24
12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?
时长 14:49
Linux系统和应用安全 (5讲)
13 | Linux系统安全:多人共用服务器,如何防止别人干“坏事”?
时长 13:13
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
时长 14:20
15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
时长 15:58
16 | 数据库安全:数据库中的数据是如何被黑客拖取的?
时长 13:02
17 | 分布式安全:上百个分布式节点,不会出现“内奸”吗?
时长 13:06
安全防御工具 (7讲)
18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?
时长 12:21
19 | 防火墙:如何和黑客“划清界限”?
时长 13:35
20 | WAF:如何为漏洞百出的Web应用保驾护航?
时长 12:59
21 | IDS:当黑客绕过了防火墙,你该如何发现?
时长 16:44
22 | RASP:写规则写得烦了?尝试一下更底层的IDS
时长 13:00
23 | SIEM:一个人管理好几个安全工具,如何高效运营?
时长 14:10
24 | SDL:怎样才能写出更“安全”的代码?
时长 13:55
业务安全 (6讲)
25 | 业务安全体系:对比基础安全,业务安全有哪些不同?
时长 13:41
26 | 产品安全方案:如何降低业务对黑灰产的诱惑?
时长 12:48
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
时长 14:41
28 | 机器学习:如何教会机器识别黑灰产?
时长 13:05
29 | 设备指纹:面对各种虚拟设备,如何进行对抗?
时长 15:27
30 | 安全运营:“黑灰产”打了又来,如何正确处置?
时长 13:08
知识串讲 (3讲)
模块串讲(一)| Web安全:如何评估用户数据和资产数据面临的威胁?
时长 12:08
模块串讲(二)| Linux系统和应用安全:如何大范围提高平台安全性?
时长 09:38
模块串讲(三)| 安全防御工具:如何选择和规划公司的安全防御体系?
时长 10:35
特别加餐 (5讲)
加餐1 | 数据安全:如何防止内部员工泄露商业机密?
时长 08:50
加餐2 | 前端安全:如何打造一个可信的前端环境?
时长 14:53
加餐3 | 职业发展:应聘安全工程师,我需要注意什么?
时长 11:46
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
时长 10:20
加餐5 | 安全新技术:IoT、IPv6、区块链中的安全新问题
时长 09:52
结束语 (2讲)
结束语 | 在与黑客的战役中,我们都是盟友!
时长 05:03
结课测试|这些安全知识,你都掌握了吗?
时长 00:37
安全攻防技能 30 讲
15
15
1.0x
00:00/00:00
登录|注册

03 | 密码学基础:如何让你的密码变得“不可见”?

何为舟
散列算法用SHA256加盐
非对称加密用ECC
对称加密用AES-CTR
国密SM3
SHA
MD5
国密SM2
ECC
RSA
国密SM1和SM4
AES
IDEA
DES
具体算法选取
不可逆计算使用散列算法
多对一场景使用非对称加密
对称加密优先考虑
认证和签名场景
Cookie和隐私信息加密存储
数据库加密
加密通信
散列算法
非对称加密算法
对称加密算法
审计
授权
认证
总结
应用场景
加解密
黄金法则
密码学

该思维导图由 AI 生成,仅供参考

你好,我是何为舟。
上一讲,我们学习了黄金法则的三部分核心内容:认证、授权、审计。它们描述了用户在使用应用的各个环节,我们需要采取的安全策略。
在掌握了黄金法则之后,你就能以在安全发展规划上的宏观能力,赢得面试官的认可。接下来,他想考验一下你对安全具体知识的理解,以此来判断你能否将安全发展落地。于是,他问了一个非常基础的问题:你懂加解密吗?
可以说,密码学是“黄金法则”的基础技术支撑。失去了密码学的保护,任何认证、授权、审计机制都是“可笑”的鸡肋。
在实际的生活工作中经常会有这样的场景发生:多个用户共用一个 Wi-Fi 来上网、共用一个服务器来跑任务;多个进程共用一个数据库来完成数据存储。在这些场景中,多方交互都通过一个共同的通道来进行,那我们该如何保障其中内容的 CIA 呢?这就需要用到各种加密技术了。今天,我们就一起来学习密码学相关的知识。
首先,我先来普及一个语文知识。密钥中的钥,发音为 yuè,不是 yào。虽然通常情况下,你按正常发音读的话,别人都会听成“蜜月”。但是,我们还是要用正确、专业的发音。
接下来,我来介绍一些经典的密码学算法:对称加密算法、非对称加密算法和散列算法。这些算法的具体实现不是咱们课程的重点,而且本身的过程也非常复杂。在安全这块内容里,你只需要明确了解这些算法的概念及其优缺点,就足够你去选取合适的加密算法了。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

密码学是信息安全的基础,本文介绍了对称加密算法、非对称加密算法和散列算法。对称加密算法使用相同密钥进行加密和解密,包括DES、IDEA、AES和国密SM1/SM4。其中AES是目前国际上最认可的密码学算法。在实际应用中,加密通信、数据库加密和公司内部数据加密都需要考虑选择合适的加密算法和分组计算模式。文章通过介绍这些算法的概念及应用,帮助读者了解密码学的基础知识和在实际场景中的应用。 非对称加密算法代表加密和解密使用不同的密钥,解决了密钥分发的难题。常见的非对称加密算法包括RSA、ECC和国密SM2。此外,散列算法如MD5、SHA和国密SM3也被介绍,它们提供唯一的id和不可逆性,适用于密码存储和数据完整性校验。 总的来说,对称加密优先考虑AES-CTR,非对称加密推荐使用ECC,而散列算法则建议使用SHA256加盐。这些算法能够满足大部分的使用场景,并且在未来保持较高的安全强度。 通过本文的学习,读者可以快速了解密码学的基础知识和各种加密算法的特性及应用场景,为实际应用提供了指导和建议。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
登录 后留言

全部留言(56)

  • 最新
  • 精选
  • 普通熊猫 ଘ(੭ˊ꒳​ˋ)੭✧
    AES,你值得拥有,A代表AES-CTR,E代表ECC,S代表SHA256 加盐。 匿了

    作者回复: 这个总结可以,我都没想到。

    2020-01-03
    34
  • rocedu
    密钥的发音问题,依据在哪?

    作者回复: 你好,感谢你的留言。如果一定要追究依据的话,可以查阅字典,只有钥匙读yao。这其实是北京人的方言发音,钥其实是只有yue这个读法的。 不过嘛,字典也会适应潮流,将错就错,比如‘空穴来风’的意思。所以,科普yue仅仅是我的偏执,不需要认同。

    2019-12-10
    5
    20
  • Geek_f7f72f
    sha3,blake2不介绍下吗,相比所谓的国密,应用范围更广吧

    作者回复: 现有技术没有出现明显的问题,所以大家还是习惯性使用传统的算法,这些新算法的替代性和普及性不会那么高。 另外,不要低估国密,最近和一些数据安全的人聊,他们表示如果只做国内业务的话,最好都用国密。因为说不定哪天等保或者国内的数据安全法,就强制要求国密了。

    2019-12-10
    2
    19
  • Vokey
    《现代汉语词典(第7版)》: 【密钥】mìyuè (口语中多读mìyào)

    作者回复: 哈哈,官方实锤~

    2019-12-19
    2
    14
  • return
    老师 请教一下: 唯一性(不存在两个不同的消息,能生成同样的摘要)。 我理解 散列算法做不到这一点吧, 消息是任意的 是个无限集,但是散列值 是固定长度,必然是有限的。 无限映射有限 肯定会有不同消息生成相同摘要吧。

    作者回复: 理论是这样没错,但实际使用时,你肯定不会有那么多数据需要去做散列。所以,追求的是在有限数据量下,碰撞概率几乎为0。

    2019-12-09
    2
    14
  • splm
    先对账号密码md5,然后加盐;那二次进入的时候,账号密码没变,但盐值变了,又是怎么匹配的呢?

    作者回复: 盐值是和账号作唯一关联,且不变的。

    2020-01-08
    3
    11
  • 张望
    建议程序员们也多关注国家法律法规要求,我国密码法马上正式实施了,其实对于加密算法选用就有了明确的法律要求,没有影响力的小软件还好说,做大了的软件一定会被监管到的,到时再更换全套加密算法成本也会很高的。

    作者回复: 嗯,最近跟同行聊的时候。他们也表示公司内部开始推进国密算法的应用了,为了避免以后又要改。不过吧,这个改动还是有难度的,毕竟国际算法都用了这么多年了,老旧代码改动成本不容小觑。

    2019-12-14
    6
  • Geek_f7f72f
    TLS很早就弃用了IDEA,标记为不安全,是因为理论上的缺陷,还是其他原因?

    作者回复: 你好,感谢你的留言。这个问题之前还真没注意到,特地查了一下。看到的原因也就是“due to the availability of faster algorithms”。也就是说,已经有更快更好的AES了,就没有再使用IDEA的意义了。

    2019-12-10
    6
  • 小老鼠
    HTTPS是对称还是非对称?盐值放在哪儿比较安全?

    作者回复: 协商密钥是非对称的,密钥协商完之后就是对称加密了。 盐值一般和用户名等唯一标识放一块。盐值不用考虑保密性,只要完全随机且唯一对应即可。

    2019-12-31
    4
    5
  • stg609
    基于https的前提下,前端加密真的有必要吗? https已经防止了中间人攻击,前端如果真被破解或被植入恶意代码,黑客完全可以拿到加密前的明文。我觉得前端做加密解决不了问题,反而此地无银三百两。

    作者回复: 可以把这个问题拆开看,数据泄露可能有三个点:前端,后端,传输过程。https可以解决传输过程中的泄露问题。但前后端本身,同样存在泄露风险。比如,你去做一个代理登录,用户提交密码给你,你再拿密码去第三方认证,这个密码就泄露给你了。如果前端加密了,那么你只拿到密文,虽然能完成认证,但其实不知道密码。

    2020-05-29
    2
    3
收起评论
显示
设置
留言
56
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部