|
|
馬上注冊��,結交更多好友�����,享用更多功能����。
您需要 登錄 才可以下載或查看���,沒(méi)有帳號���?注冊
x
現在企業(yè)大部分的網(wǎng)絡(luò )設備與應用軟件��,都是依靠口令來(lái)保證其安全性的���。若口令丟失的話(huà)����,可想而知���,會(huì )給企業(yè)的網(wǎng)絡(luò )安全帶來(lái)多大的風(fēng)險�,很可能在不知不覺(jué)中��,企業(yè)網(wǎng)絡(luò )中的主機成為了黑客的肉雞�����,成為他們攻擊其他網(wǎng)絡(luò )的跳板;甚至企業(yè)的那些所謂機密信息也會(huì )一覽無(wú)余的顯示在攻擊者面前�����,成為他們非法牟利的工具�,等等���。
所以����,在企業(yè)網(wǎng)絡(luò )管理中����,有一項非常重要的任務(wù)���,就是對口令安全的管理����?上У氖�����,很多企業(yè)在這個(gè)方面管理的并不是很好��。下面筆者就談?wù)勗诳诹罟芾碇��,有哪些看起?lái)很復雜的密碼但是對于黑客來(lái)說(shuō)����,確是很容易破解����。根據密碼破解難度的不同�,我這里就總結出黑客最喜歡用戶(hù)設置的五種網(wǎng)絡(luò )口令����,妄大家能夠引以為鑒����。
一�����、 用戶(hù)名與口令名相同
筆者平時(shí)跟一些網(wǎng)絡(luò )管理的同行聊天���,談到密碼設置的問(wèn)題���。他們跟我一樣��,都發(fā)現用戶(hù)在這方面不夠重視����,或者說(shuō)�����,有偷懶的習慣�。我們在設置用戶(hù)名的時(shí)候���,如域帳戶(hù)或者ERP系統的帳戶(hù)名���,都會(huì )設置成“第一次登陸必須修改密碼”�����。但是�,當用戶(hù)在設置密碼的時(shí)候�����,喜歡把用戶(hù)名與口令設置成相同���。確實(shí)��,用戶(hù)名與口令一致���,在記憶上可能會(huì )比較容易�����。但是�,若從安全角度考慮���,其跟沒(méi)有設置密碼��,沒(méi)有什么不同�����。
因為現在最常用的電子字典密碼破解工具��,在破解密碼的時(shí)候���,第一就是看密碼是否為空�����,第二就是查密碼是否跟用戶(hù)名一致�。所以��,若把用戶(hù)名與密碼設置為一致的話(huà)��,很容易被電子字典所破解�。而且�,即使不用電子工具�����,我們手工的話(huà)�����,按照這個(gè)規則也可以在一分鐘不到的時(shí)間里破解掉����。所以��,若采用用戶(hù)名與密碼一致的口令的話(huà)�����,是非常危險的��。
不過(guò)��,我們可以在密碼管理策略中��,限制用戶(hù)設置與用戶(hù)名相同的密碼�����。如在域帳戶(hù)管理策略中�,我們可以限制��,用戶(hù)設置的密碼不能跟用戶(hù)名相同���。在一些應用軟件���,如ERP系統中���,我們也可以做這方面的限制��,等等��。也就是說(shuō)��,現在很多應用軟件開(kāi)發(fā)商與網(wǎng)絡(luò )設備廠(chǎng)商已經(jīng)認識到這種口令的危害性��,在他們的口令安全中�,紛紛加入了這方面的限制�����。如此的話(huà)��,我們網(wǎng)絡(luò )管理員就可以利用強制的手段�,限制用戶(hù)設置跟用戶(hù)名一致的口令����,從而提高口令的安全性���。
二�、 使用用戶(hù)名變換得到的口令
有些用戶(hù)自以為聰明��,既然密碼不能跟用戶(hù)相同�����,則對用戶(hù)名進(jìn)行簡(jiǎn)單的變幻之后�,作為密碼總可以了吧���。如把用戶(hù)名顛倒順序作為密碼�����,或者在用戶(hù)名后面加上個(gè)“123456”作為密碼�。從技術(shù)上說(shuō)����,這確實(shí)是可行的���。但是����,這只是在欺瞞我們網(wǎng)絡(luò )管理者�����,而對于黑客來(lái)說(shuō)�����,使毫無(wú)用處的���。
我們不要把電子字典想的太簡(jiǎn)單��,認為它不能夠識別這個(gè)小伎倆�����。要知道�����,電子字典密碼破解工具中�����,融入了用戶(hù)很多常規的密碼設置心理�。在利用電子字典密碼破解工具的時(shí)候���,若是一個(gè)八位密碼����,不管是純數字還是字母結合的密碼����,電子字典可以在一分之內根據用戶(hù)名排列出所有的組合���。也就是說(shuō)��,若我們的密碼是對用戶(hù)名重新排序而來(lái)的��,則電子字典就可以在一分鐘之內找到正確的密碼������?梢(jiàn)�����,若對用戶(hù)名進(jìn)行簡(jiǎn)單重排序而得到的密碼���,看起來(lái)好像很復雜��,若用手工破解的話(huà)�����,確實(shí)有難度;但是��,若黑客利用電子字典等密碼破解工具的話(huà)���,則破解起來(lái)就好像跟切豆腐一樣的容易�。
可以毫不夸張的說(shuō)�����,以用戶(hù)名為基礎進(jìn)行變換的密碼�����,如對用戶(hù)名進(jìn)行隨意的排序或者在用戶(hù)名后面加上幾個(gè)簡(jiǎn)單的數字�,這些單純的變換形式����,只要用戶(hù)想的到的話(huà)��,一些高級的電子字典破解工具����,也想的到���。而且因為其運算能力的原因����,可能我們需要花個(gè)幾分鐘時(shí)間去想怎么重新組合合理�,而電子字典的話(huà)�,可能只需要你一半的時(shí)間����,就可以把這個(gè)密碼破解掉���。
所以�,在口令設置中���,特別是一些重要網(wǎng)絡(luò )設備與應用軟件中���,不要按這種形式來(lái)設置密碼�����。 |
|
IP卡
狗仔卡
收藏
支持
反對
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
