摘要:北约对南联盟的轰炸引起了“黑客”世界大战,许多站点被攻击,安全专家又一次受到挑战。尽管安全保护措施不断出台,系统软件不断增加安全防范功能,但黑客的手段也日渐高超,正所谓“道高一尺,魔高一丈”,安全理论和技术在这场拉锯站中也将日臻复杂。
关键词:有效口令设置防范系统
前言
再复杂的安全防范系统都有一道最重要的防线:身份认证——对想访问系统和其数据的人进行鉴别交检验其身份,这便引入了人为因素,因此,它就成了黑客最感兴趣的安全漏洞。
身份认证有四种主要方法:一是对用户所知道的信息进行认证,要求用户输入一些保密信息,如用户名和口令等;二是用所拥有的物理识别设备进行认证,如访问卡、钥匙或令牌等;三是对用户的基本特征进行认证,采用生物统计学系统,基于某种特殊的物理特征对人进行唯一性识别,如指纹、视网膜血管分布图等;四是用下意识动作进行认证,要求用户进行一些别人无法模仿的动作,如笔迹、击键习惯等,然后提取数据结果进行校验。后三种方法的实现非常困难,而且成本昂贵,一般除安全保密部门之外都不使用。最常见的身份认证方法是口令法,这种方法易于实现,并能有效识别用户的身份。
一、对口令的攻击
在计算机安全系统中,用口令进行身份认证是防止入侵的第一道重要防线,黑客若没有获得一个有效的口令,要想闯入计算机系统就很困难。wwW.133229.COm因此,黑客攻击的第一步便是设法收集口令。
口令丢失不仅是你个人的损失,而且黑客通过你的口令进入系统后,会利用你的帐户权限破坏整个系统,或以此为跳板攻击其他系统。因此,选择一个安全有效的口令是非常重要的。
什么样的口令才算有效呢?只有知道黑客如何破获口令的,才能设置出他们解不了的口令,这样的口令才算有效。
黑客破解口令时一般先尝试使用用户名及其各种排列或加上数字、标点符号等,如果他了解用户很多的信息,比如生日、电话号码、家人或宠物的名字等,他会不断地尝试,若都不正确,就会采用以下两种方法:
一是“口令入侵者”——可以解开口令或者屏蔽口令保护的程序。口令入侵者并不能真的解开单向加密的口令,而是使用仿真工具,利用与原口令程序相同的方法,通过对比分析,用不同的加密口令去匹配原口令。许多“口令入侵者”都借助字典文件进行“蛮力”攻击,以很高的速度一个接一个地去试,最终会碰到正确的口令。
二是利用“特洛伊木马”——提供了用户所需用要的功能同时隐含了不良动机的程序,它会在你不了解的情况下拷贝文件或窃取密码。这类程序可能通过各种途径进入计算机,但又很难被发现。比如有些窃取密码的程序伪装成系统登录屏,等你输入帐号和口令,然后提示“口令不正确”或“系统出故障,请重新登录”等信息,再转到真正的系统登录屏,有的程序会给用户造成一种系统无意中退出的印象,当重新显示登录屏时,用户就会输入登录信息,这样信息就被记录下来传给了黑客。
二、选择有效口令
黑客攻击口令很厉害的一招是“蛮力搜索”——逐个尝试各种可能的口令组合,但他们往往不用这个方法,而是根据人们的习惯进行猜测。为此,选择有效的口令可从以下几个方面入手:
(1)千万不要使用你的有户名或真名做口令。安全行业把用户名做口令的帐户称为joe,它是黑客测试的第一个口令。
(2)不要认为口令只能是数字,或只能是字母,口令可以使用:26×2(大小写字母)+10(数字)+33(标点符号)=95个字符。一个好的口令应包括大小写字母、数字、标点符号等,不要认为这很难记,如“1q23l,yc45j.”可以记成“一去二三里,烟村四五家。”,这种口令虽然复杂,但很好记,又很难被搜索到。
(3)口令越长,“蛮力搜索”需要的时间就越长。过去专家建议至少要取6位字符口令,而以现在的机器速度,6位口令并不可靠。如果取一个好的8字符口令,其各种组合大约为6.63e15种,在高速计算机上每秒算1百万次,使用“蛮力搜索”平均需要1百年时间。
(4)不要使用你的配偶、孩子、宠物、朋友或所在地的名字,以及生日、证件号码、电话号码等有关你的任何信息做口令,因为有时黑客并不遥远,他可以搜集你的很多住处在你的机器上进行攻击,因此不可不防。说到此,还要提醒你提防“肩部冲浪者”他会在你键入口令时记住它。
(5)不要使用任何语言的单词或单词的变形作口令,“口令入侵者”可以搜索很多词典,再加上破译过程是由程序自动完成的,因此,有可能只需几个小时,便可破译口令,它比“蛮力搜索”要快得多。
(6)千万不要将口令以任何方式写下来,更不要存在文件中,如果脑子记不住,就换一个。
(7)千万不要将口令告诉他人,无论他是谁或声称是谁!黑客是很好的“社会工程师“,他会不遗余力巧妙耐心地说服你将口令或其他敏感信息泄露给他,甚至伪装成系统管理员要求用户提供口令。
(8)在不同的登录中不要使用同一个口令。有些口令的存放或传输是以明文或简单加密方式进行的,一旦被黑客获取,他便可以打入到你能进入的系统。
(9)永远不要对你的口令过于自信,要定期更换口令,不能重复使用同一个口令,这样可以避免“执着”的黑客进行“蛮力搜索”,或即使口令泄露,黑客也无法长期使用它。
(10)如果登录过程中出现了令人意外的现象,如你肯定输对了口令,系统却显示“口令不对”或“系统出故障,请重新登录”等信息时,要考虑到是否有“特洛伊木马”伪装的登录屏套取你的口令或用户名?此时可请系统管理员进行分析,以防患于未然。
如果每个用户都遵循以上十条规则,你的口令就会很有效,黑客也会对它大伤脑筋。笔者认为没有几个黑客会真的使用“蛮力搜索”,如果破坏不了口令,那他只能去搜录系统的其它漏洞了。
三、设置用户帐户
目前,在有些操作系统中设计了较好的安全帐户策略,如windowsnt,如果用户能正确设置,口令就会安全有效。
以windowsnt(中文版)为例,系统安装完毕后,用户应首先进入“程序”→“管理工具(公用)”→“用户管理器”,在“策略”菜单中选择“帐号”,会出现“帐号规则”窗口(如图1所示)。其中各项的功能如下:
(1)密码最长期限:用户应规定口令更换时间,到时强制更换口令,不能让口令永久有效。一个口令最多用四个月,故可将密码最长期限设为90-120天。
(2)最短密码长度:用户应限定口令的最短长度,以目前的计算机速度来说,口令应在8字符以
上,至少不能少于7字符。绝对不允许有空密码,否则黑客就会毫不费力地侵入你的系统。
(3)最短密码期限:可根据你的喜好设置,各有利弊。如果允许立即更改,则方便了用户,同时也方便了黑客;如果允许几天后更改,本文来自范文中国网。用户有时可能感到不便,这也使黑客不能随意修改你的口令。
(4)密码唯一性:如不保存口令记录,用户有可能用了旧口令,而这个口令也许已被黑客掌握;若保存口令记录,黑客一旦取得记录文件,就可以分析这些口令,较多的信息会使他容易破译出现用的口令。不过最好还是不保存口令记录,而将它记在脑子里。
(5)帐号锁定:该项一定要启动,它可以使通过猜测帐户口令设法登录的企图失败。登陆时不允许反复尝试口令,若三次键入都不对,显然不是手误,这时就该锁定该帐户。如果选择永久锁定,用即使再使用正确的口令也无法登录,这样系统管理员就能够知道发生了一次安全攻击事件。
(6)应启动“用户必须登录方能更改密码”的功能,这样只有真正知道现有口令的用户才能修改它,而不会被黑客随意修改。
四、结束语
网络的安全是至关重要的,只有保证了网络的安定,才能充分发挥网络的功效,否则,后果将不堪设想。据网站安全调查结果表明:80%以上的安全侵犯是由于口令拙劣引起的。可见,如果用户按照本文所提供的方法选择和设置保护口令,就能避免黑客80%的入侵,大家一定要悉心采纳哦。
