为 SSH 密钥登录配置 TOTP 2FA 验证

TOTP 是一种基于时间的、不依赖于网络的验证码。目前已有的大多是允许 SSH 通过公钥登录,或者是通过密码 + TOTP 的方式登录。前者很难被暴力破解,但是除非为私钥设置强密码或通过 YubiKey 等方式加密保存密钥,否则很容易被窃取密钥。后者本质上是 2FA 认证,尽管已经足够强大,但是一旦 TOTP 失窃,则更容易被暴力破解。相比之下,密钥 + TOTP 的方法既不需要过强的密码,也可以提供最高的安全性。

Write Ransomware in Rust——用Rust写勒索软件: (一)结构篇

勒索软件的结构是基本一致的。从开源的 Hidden Tear 勒索软件开始,几乎所有的勒索软件都遵循着大致的结构。原因是勒索软件的目的和手段没有发生大的变化,且勒索软件的核心技术结构也没有大的变化。因此,想要编写一个勒索软件,首先需要按照几乎既定的模式进行结构组织。我将勒索软件的技术结构分为:交互层、逻辑层、加密层、传输层。

Write Ransomware in Rust——用Rust写勒索软件: (零)起因篇

自比特币(BTC)、以太坊(ETH)等数字加密货币兴起,价格暴涨以来,它们凭借自身难追踪、易交易、高价值、低监管的特点成为了黑客的首选。随着他们的兴起,以收取勒索加密数字货币赎金为目的勒索软件也逐步兴起。知名的WannaCry勒索软件利用美国国家安全局(NSA)泄露的“永恒之蓝”漏洞展开攻击,要求用户支付300美元的比特币来解密被加密的文件。总体来讲,勒索软件近些年频繁出现,而且勒索金额、勒索形式、技术手段也愈加丰富,危害性越来越大。因而研究勒索软件是一种必要的探索,以掌握其规律和手段。