信息安全

引言：一个反直觉的事实 2017年，美国国家标准与技术研究院（NIST）发布了一份更新版的数字身份指南。在这份长达数百页的文件中，有一个附录专门讨论密码强度。与以往版本不同，这次NIST明确建议：不要强制要求用户使用复杂度规则——那些"必须包含大写字母、小写字母、数字和特殊符号"的规定，正在被悄悄废弃。 ...

title: “密码存储为何从MD5走向Argon2——一场持续六十年的攻防博弈” date: “2026-03-06T08:45:20+08:00” description: “从1960年代MIT CTSS系统的首次密码泄露，到1979年Morris和Thompson发明salt机制，再到1999年bcrypt、2009年scrypt、2015年Argon2的相继问世，系统梳理密码存储技术六十年的攻防演进。深入分析彩虹表攻击的原理与防御、内存硬函数的设计哲学、GPU/FPGA破解技术的威胁演变，以及OWASP与NIST最新的参数配置建议。” draft: false categories: [“密码学”, “信息安全”, “Web安全”] tags: [“密码存储”, “bcrypt”, “scrypt”, “Argon2”, “PBKDF2”, “彩虹表”, “内存硬函数”, “密码哈希”, “GPU破解”, “salt”] 1962年，MIT的CTSS（Compatible Time-Sharing System）发生了一件小事：博士候选人Allan Scherr为了获得更多CPU时间，找到了一种方法打印出系统中所有用户的密码文件。这是历史上首次有记录的密码泄露事件，虽然影响范围有限，却暴露了一个根本性问题——当密码以明文存储时，任何获得数据库访问权限的人都能直接读取所有用户的凭证。 ...

1978年5月3日，数字设备公司（DEC）的市场经理Gary Thuerk做了一件在当时看来平平无奇的事：他给ARPANET上的393个用户发了一封邮件，宣传公司的新产品演示会。邮件主题是"DIGITAL WILL BE GIVING A PRODUCT PRESENTATION OF THE NEWEST MEMBERS OF THE DECSYSTEM-20 FAMILY"。 ...

title: “二维码为何成为黑客的新宠：从便利店到全球支付的技术双刃剑” date: “2026-03-06T06:38:00+08:00” description: “深入解析二维码的技术原理与安全风险。从1994年Denso Wave发明二维码，到Reed-Solomon纠错编码的数学基础，再到2024年Quishing钓鱼攻击激增270%的现状，系统梳理二维码如何从工业标识演变为全球支付基础设施——以及其设计缺陷如何被攻击者系统性利用。基于ISO/IEC 18004规范、IEEE论文和FBI安全警告，揭示二维码"信任假设"的根本漏洞。” draft: false categories: [“信息安全”, “编码技术”, “移动支付”] tags: [“二维码”, “QR Code”, “Reed-Solomon”, “Quishing”, “网络安全”, “移动支付”, “纠错编码”, “社会工程”] 1994年，日本电装公司（Denso Wave）的工程师原昌宏（Masahiro Hara）正在解决一个看似简单的问题：汽车零部件的追踪标识。传统条形码最多只能存储20个字符，而工厂需要记录零件编号、批次、供应商等大量信息。原昌宏的团队只有两个人，却做出了一个改变全球支付格局的决定——他们放弃了把尽可能多信息塞进代码的思路，转而追求"快速读取"。 ...

2013年12月，美国零售商Target遭遇了一场改变支付安全行业格局的数据泄露事件。攻击者窃取了约4000万张信用卡和借记卡信息，另有7000万客户个人信息外泄。事后分析表明，攻击者从Point of Sale（POS）系统中直接提取了明文主账号（Primary Account Number，PAN）。如果这些系统当时使用了令牌化技术，即使攻击者完全攻破网络，他们能获取的也只是一堆毫无价值的随机字符串。 ...