密码管理器Bitwarden的CLI软件包在2026年4月23日遭到供应链攻击,黑客通过盗取开发者凭证发布了恶意代码。受影响用户需检查安装记录,立即卸载受影响版本,清除NPM缓存,并轮换所有可能暴露的机密信息。虽然被攻击的时间较早,受影响概率较低,但仍需谨慎应对。

密码管理器Bitwarden发布CLI软件包被黑公告 持续时间1小时33分钟
蓝点网
蓝点网 ·
又是 npm 包投毒,密码管理器 Bitwarden CLI 中招(放心:本体安全)

又是 npm 包投毒,密码管理器 Bitwarden CLI 中招(放心:本体安全)
小众软件
小众软件 ·

开源密码管理器Bitwarden的CLI工具遭到供应链攻击,相关NPM包被植入恶意代码,可能窃取用户敏感信息。用户应检查CI日志并更换暴露的令牌。目前确认仅CLI工具受影响,其他版本未受影响。攻击者可能与俄罗斯黑客有关,但恶意代码在俄语环境中不会执行。

⚠️重要安全提醒:开源密码管理器Bitwarden CLI命令行工具遭到供应链攻击
蓝点网
蓝点网 ·

本文讨论了密码学的工程应用,重点包括后量子迁移、全同态计算、现代认证协议和国密算法,强调系统设计、性能代价与部署约束,旨在提升数据隐私与安全性。

密码工程专题索引
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·
.NET 9 智能门锁管理系统:远程开锁与临时密码(酒店/民宿)

.NET 9 智能门锁管理系统:远程开锁与临时密码(酒店/民宿)
dotNET跨平台
dotNET跨平台 ·

现代密码学与古典密码学的主要区别在于安全性定义的可证伪性。自1949年Shannon提出信息论安全框架后,密码学家转向基于计算复杂性理论的计算上不可破的安全性,安全性相对攻击者的计算能力。本文探讨了从图灵机到复杂性类的理论链条,以及安全归约在密码系统中的重要性。

【密码学百科】计算复杂性与归约:密码安全性证明的基石
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

密码学的核心在于保护信息,尤其是在对手利用概率推理时。差分和线性密码分析是重要的攻击方法,通过统计偏差揭示密码设计的弱点,概率论在这些分析中至关重要,影响密码的安全性和设计理念。

【密码学百科】概率论与密码分析:生日攻击、差分分析与线性分析
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

模格是后量子密码学的核心,NIST 2024年发布的标准中,ML-KEM和ML-DSA基于模格问题。理解模格的数学本质是掌握后量子密码的基础。文章讨论了模格的定义、困难问题及安全性评估,适合具备线性代数与概率论基础的读者。

【密码学百科】格密码数学基础:SVP、LWE 与格基约化
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

流密码是一种适用于实时数据流的加密方式,逐比特处理数据,使用伪随机密钥流。文章讨论了流密码的设计、LFSR理论、RC4的历史及其安全性问题,以及现代流密码如ChaCha20和XChaCha20的优势。流密码在实时通信和资源有限设备中表现优越,并与AEAD结合提供更高安全性。

【密码学百科】流密码:RC4 的兴衰与 ChaCha20 的崛起
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

1883年,荷兰语言学家Kerckhoffs提出六条密码设计原则,强调安全性应依赖于密钥保密而非算法保密。这一原则至今仍是密码学的基石。文章探讨了现代密码设计的哲学,包括公开审查、误用抵抗和安全余量,强调简洁设计和适应性的重要性,以确保密码系统的安全性和可靠性。

【密码学百科】Kerckhoffs 原则与现代密码设计哲学
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

密码学是一门关于安全传递信息的学问,经历了从古典密码到量子时代的重要发展,包括频率分析、机械密码机、公钥密码学等阶段。现代密码学强调密钥保密和算法公开,面对量子计算威胁,后量子密码学的标准化正在进行,以确保未来安全。密码学是保护隐私和自由的基础设施。

【密码学百科】密码学简史:从凯撒密码到量子时代
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

密码敏捷性是信息系统在其生命周期内以最低成本替换密码算法的能力。随着计算能力的提升,旧算法如DES、MD5和SHA-1逐渐被攻破,系统需要进行迁移。缺乏敏捷性的系统在迁移时面临重大挑战。算法协商机制可以动态选择密码算法,但也带来了降级攻击的风险。后量子时代的到来使得密码敏捷性成为生存的必要条件,混合模式策略为过渡提供了保障。

密码敏捷性:如何设计可升级的密码系统
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

密钥派生函数(KDF)和密码哈希函数在密码学中至关重要。KDF用于从原始秘密材料生成安全密钥,解决密钥分离、拉伸和熵提取等问题。HKDF是重要的KDF,分为提取和扩展两个阶段,确保输出密钥均匀随机。密码哈希函数用于安全存储用户密码,现代算法如Argon2、bcrypt和scrypt强调内存困难性以抵御攻击。选择合适的参数和工程实践对密码安全至关重要。

【密码学百科】密钥派生函数:HKDF、PBKDF2、Argon2 与密码存储
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

分组密码在对称密码学中至关重要,DES和AES是其代表。本文分析了分组密码的设计范式,包括Feistel网络和SPN结构,探讨了混淆与扩散原则,以及差分和线性密码分析的攻击方法,强调了设计安全性的重要性。

【密码学百科】分组密码原理:Feistel 网络与 SPN 结构
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

本文探讨了公钥密码学的数学基础,包括模运算、群论、原根和离散对数等概念。介绍了扩展欧几里得算法和中国剩余定理,强调它们在RSA和Diffie-Hellman等密码协议中的重要性。同时讨论了素性测试和整数分解的困难性,指出RSA的安全性依赖于大整数分解的难度。

【密码学百科】公钥密码的数论基础:模运算、群、原根
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

密码认证经历了从明文存储到哈希,再到加盐和慢哈希函数的演变,最终发展出PAKE协议。PAKE通过共享密码实现安全认证,避免服务器接触密码。OPAQUE协议是增强型PAKE的代表,确保即使服务器被攻破,密码也不会泄露,具备抵抗离线字典攻击和前向安全性等特性,正在被工业界逐步采纳。

【密码学百科】密码认证协议:从 SRP 到 OPAQUE
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·

分组密码是现代对称密码学的基础,工作模式解决了加密任意长度消息的问题。本文解析了五种经典工作模式:ECB、CBC、CTR、OFB和CFB,强调选择合适模式的重要性。ECB简单但不安全,CBC通过引入依赖性提高安全性,CTR模式将分组密码转化为流密码,支持并行处理。现代密码学推荐使用认证加密模式(AEAD),以确保保密性和完整性。

【密码学百科】分组密码工作模式全览:ECB/CBC/CTR/OFB/CFB
土法炼钢兴趣小组的博客
土法炼钢兴趣小组的博客 ·
OpenClaw是财富密码还是泡沫?真实用户故事与避坑指南

OpenClaw是财富密码还是泡沫?真实用户故事与避坑指南
极道
极道 ·
别因 AI 暴露 WordPress 登录密码,Application Passwords 才是最优的登录方式

别因 AI 暴露 WordPress 登录密码,Application Passwords 才是最优的登录方式
WordPress 果酱
WordPress 果酱 ·

Ubuntu 26.04 LTS 版将默认启用 sudo-rs 的密码输入可视化反馈,用户输入密码时将显示星号,旨在改善用户体验。尽管部分用户认为这降低了安全性,开发团队认为隐藏输入状态已无意义,用户可选择禁用此功能。

真违背祖宗的决定:Ubuntu 26.04 LTS将显示密码输入状态 不再完全没反应
蓝点网
蓝点网 ·
👤 个人中心
在公众号发送验证码完成验证