返回列表 回復 發帖

網路口令的安全問題

網路口令的安全問題
現在企業大部分的網路設備與應用軟體,都是依靠口令來保證其安全性的。若口令丟失的話,可想而知,會給企業的網路安全帶來多大的風險,很可能在不知不覺中,企業網路中的主機成為了駭客的肉雞,成為他們攻擊其他網路的跳板;甚至企業的那些所謂機密資訊也會一覽無餘的顯示在攻擊者面前,成為他們非法牟利的工具,等等。

  所以,在企業網路管理中,有一項非常重要的任務,就是對口令安全的管理。可惜的是,很多企業在這個方面管理的並不是很好。下麵筆者就談談在口令管理中,有哪些看起來很複雜的密碼但是對於駭客來說,確是很容易破解。根據密碼破解難度的不同,我這裏就總結出駭客最喜歡用戶設置的五種網路口令,妄大家能夠引以為鑒。

  一、 用戶名與口令名相同

  筆者平時跟一些網路管理的同行聊天,談到密碼設置的問題。他們跟我一樣,都發現用戶在這方面不夠重視,或者說,有偷懶的習慣。我們在設置用戶名的時候,如域帳戶或者ERP系統的帳戶名,都會設置成“第一次登陸必須修改密碼”。但是,當用戶在設置密碼的時候,喜歡把用戶名與口令設置成相同。確實,用戶名與口令一致,在記憶上可能會比較容易。但是,若從安全角度考慮,其跟沒有設置密碼,沒有什麼不同。

  因為現在最常用的電子字典密碼破解工具,在破解密碼的時候,第一就是看密碼是否為空,第二就是查密碼是否跟用戶名一致。所以,若把用戶名與密碼設置為一致的話,很容易被電子字典所破解。而且,即使不用電子工具,我們手工的話,按照這個規則也可以在一分鐘不到的時間裏破解掉。所以,若採用用戶名與密碼一致的口令的話,是非常危險的。

  不過,我們可以在密碼管理策略中,限制用戶設置與用戶名相同的密碼。如在域帳戶管理策略中,我們可以限制,用戶設置的密碼不能跟用戶名相同。在一些應用軟體,如ERP系統中,我們也可以做這方面的限制,等等。也就是說,現在很多應用軟體開發商與網路設備廠商已經認識到這種口令的危害性,在他們的口令安全中,紛紛加入了這方面的限制。如此的話,我們網路管理員就可以利用強制的手段,限制用戶設置跟用戶名一致的口令,從而提高口令的安全性。

二、 使用用戶名變換得到的口令

  有些用戶自以為聰明,既然密碼不能跟用戶相同,則對用戶名進行簡單的變幻之後,作為密碼總可以了吧。如把用戶名顛倒順序作為密碼,或者在用戶名後面加上個“123456”作為密碼。從技術上說,這確實是可行的。但是,這只是在欺瞞我們網路管理者,而對於駭客來說,使毫無用處的。

  我們不要把電子字典想的太簡單,認為它不能夠識別這個小伎倆。要知道,電子字典密碼破解工具中,融入了用戶很多常規的密碼設置心理。在利用電子字典密碼破解工具的時候,若是一個八位密碼,不管是純數字還是字母結合的密碼,電子字典可以在一分之內根據用戶名排列出所有的組合。也就是說,若我們的密碼是對用戶名重新排序而來的,則電子字典就可以在一分鐘之內找到正確的密碼。可見,若對用戶名進行簡單重排序而得到的密碼,看起來好像很複雜,若用手工破解的話,確實有難度;但是,若駭客利用電子字典等密碼破解工具的話,則破解起來就好像跟切豆腐一樣的容易。

  可以毫不誇張的說,以用戶名為基礎進行變換的密碼,如對用戶名進行隨意的排序或者在用戶名後面加上幾個簡單的數字,這些單純的變換形式,只要用戶想的到的話,一些高級的電子字典破解工具,也想的到。而且因為其運算能力的原因,可能我們需要花個幾分鐘時間去想怎麼重新組合合理,而電子字典的話,可能只需要你一半的時間,就可以把這個密碼破解掉。

  所以,在口令設置中,特別是一些重要網路設備與應用軟體中,不要按這種形式來設置密碼。

    三、 採用純數字的密碼

  在實際工作中,很多用戶還經常喜歡採用123456或者987654等純數字的密碼來當作用戶口令。對於這些口令,筆者的感覺是,只能放小人,不能防君子。這些口令,或者可以防止公司的其他員工使用你的電腦,但是,對於駭客來說,那往往是不屑一顧的。

  特別是根據密碼心理學,很多人喜歡採用123456或者654321等密碼,則電子字典在試圖破解這些密碼的時候,都不需要用到排列組合的知識,而直接利用這些數字去套。如此的話,他們就可以在短時間內破解出這些密碼;而且,一些稍為有這方面知識的員工,也可以試圖去破解這些密碼。

  所以,採用純數字的密碼也是駭客比較喜歡的,因為這種密碼用戶自我感覺良好,但是,在駭客嚴中,是一文不值。

四、 使用生日或者身分證號碼作為密碼

  根據筆者的瞭解,也有相當一部分喜歡採用身份證號碼或者生日作為密碼。這些密碼雖然長度比較長,如生日的話,就有8位;若採用身份證的話,則有18位之多,若知識採用其中的一部分,長度也比較長。這看起來比較安全,但是,事實是如此嗎?

  若我們以生日8位為例,看看其有幾種的排列可能?其沒一位有0到9個數字10種可能,一共8位,則其密碼組合總共有100000000種可能。這種排列組合,若要手工來進行排列的話,那確實需要花費時間。可惜的是,在電腦這種計算力超強的工具面前,其只需要幾分鐘的時間,就可以窮舉所有可能的排列。而且,無論用戶採用的是什麼格式,如年月日還是日月年,都可以輕而易舉的破解。

  即使用戶採用身份證的號碼,其長度有十八位,但是,因為其採用的都是純數字的密碼,所以,其利用電子字典破解起來,也是比較容易的,只是時間上可能要稍微久一點。

  所以,用戶需要明白一個道理,密碼複雜性並不是僅僅依靠密碼的長度。若想對於純數字密碼來說,你即使設置了18位,有時候,還可能不如六位的數字與字元結合的方式的密碼來的有效。另外,若考慮生日組成的特殊性,如月的話最多不超過12、日不超過31等等,則破解密碼的時間還可以縮短很多。

  針對這種純數字的密碼,我們也可以通過口令複雜性管理策略,來限制用戶在設置密碼的時候,不能夠簡單的採用這些純數字的密碼。若用戶設置的密碼都是數字組成的,則系統是不會接受的。如此的話,就可以強制的增加密碼的複雜性,從而來達到密碼安全的效果。

五、 純因為單詞的密碼或者純拼音的密碼

  純因為單詞的密碼或者純拼音的密碼,雖然破解起來沒有上面這些密碼這麼簡單,但是,駭客仍然是比較喜歡的。

  因為這種密碼的話,破解起來比前面這些需要困難一點,花費的時間也會更長一點。但是,現在把一本英漢字典中的幾十萬英文單詞搬到電子字典中,也不是什麼困難的事情。就拿我們常用的文曲星來說,就包含大部分的英文單詞。若我們採用的英文單詞口令都在這個電子字典中的話,則駭客仍然可以在五分鐘之內破解。除非你採用的是一些非常冷僻的單詞,或者說你單詞記錯了、漏掉了一個字元,此時,電子應用工具可能就無能為力了。

  總之,若採用純單詞的密碼來說,對於駭客仍然沒有多少威脅。

  既然以上這些密碼都不是安全的,那什麼樣的密碼才是安全的呢?其實,要做到密碼的安全性,很簡單,只需要記住以下這些規則。

  一是密碼不要有什麼實際意思。也就是說,不要用英文單詞或者我們的名字作為密碼。因為這些密碼破解起來相對比較容易。

  二是不要採用純數字或者純字元的密碼。這種即使你組合最複雜,由於其組合的個數仍然比較少,所以,破解起來也沒有用戶想的那麼複雜。

  我在公司裏,一般建議用戶在設置密碼的時候,可以採用八位,分別由數字、字元以及一個特殊符號如標點符號組成。這個密碼看起來可能比較簡單,但是,其破解起來的話,要比18位身份證號碼來說,要難的多。 只是在採用這些密碼的時候,用戶需要花點心思,記一下即可。

  另外,我們在密碼管理中,若採用鎖定策略,即當密碼錯誤數超過多少時,自動把帳戶名鎖定。這也可以提高用戶名與密碼的安全性。
返回列表