《网络攻防技术（第2版）》 —3.2　针对口令强度的攻击

3.2　针对口令强度的攻击

针对口令强度的攻击要对目标口令通过不断地猜测、推断进行破解尝试，越简单的口令越容易被破解。

3.2.1　强口令与弱口令

理论上来讲，任何口令都不是绝对安全的，因为无论用户选择多么复杂的口令，它的取值只能是有限个数值中的一个，如果给一名破解者足够的时间，他总可以用穷举法把这个口令猜出来。但实际上，选择一个安全的口令可以提高系统的安全性，因为很少有攻击者有足够的耐心和时间去破解一个口令。

从技术的角度，口令保护的关键在于增加攻击者的时间代价。因此，攻击者总会选择先破解不安全的口令，而舍弃那些相对坚固的口令。

弱口令一般都是人为原因造成的，因为人们在创建口令时往往倾向于选择简单、有规律、容易记忆的口令，然而，这种口令安全性不高，为攻击者带来了很大的方便。

曾经有人做过一个调查，让一百名大学生写出两个口令，并告知他们这两个口令将用于电脑开机，非常重要，且将来使用率也很高，要求他们务必慎重考虑。测试结果如下：

37人选择用自己姓名的汉语拼音全拼，如wanghai、zhangli等。

23人选择用常用的英文单词，如hello、good、anything等。

18人选择用计算机中经常出现的单词，如system、command、copy、harddisk等。

7人选择用自己的出生日期，如780403、199703等。

21人选择两个相同口令，接近相同的有33人。

可见，以上85人选择了极不安全的口令，这个比例是相当高的，而剩余的15人的口令也不是完全安全的，例如有的人选择了自己名字的拼音加上日期。只有15人中的少数人选择了比较安全的口令。

现在虽然很多系统有着较为齐全的安全防护设施，但往往因为管理员选择了简单的口令，使得整个网络系统的安全性大打折扣。例如，下面几种口令是不安全的：

与用户名相同的口令。例如，用户名为test，口令也是test。

常用的单词和数字。例如，hello、12345、12345678、Password等。

与键盘位置相关的口令。例如，1qaz2wsx等。

以年月日作为口令。很多人都用自己的生日做口令，认为这样的口令足够长，而且便于记忆。其实，对于攻击者来说，这种口令的猜解范围是很小的。以日期20170518为例，前两位可能选择的值有19或20；第5位和第6位代表月份，有12个选择；第7位和第8位代表日期，有31个选择。因此，8位的日期最多可能有2×100×12×31= 74400种组合。

使用11位手机号码。例如，13700108888。

以流行文化以及体育名词作为口令。例如，starwars（星球大战）、football等。

使用用户名加后缀的口令相对可靠，但也不是完全安全的，尤其是常用的后缀，如123、2000等。

较为安全的口令应该不容易被发现规律，并且有足够的长度。对长度的要求随应用环境的不同而不同，应该使得攻击者在某个时间段内很难破解。虽然按照上述规则生成的口令安全性很高，但不便于记忆。为了在安全和易用之间寻求一种平衡，可以采用一些变通方法，比如：

选择一个熟悉的英文单词，并做适当变形，如sys@tem。

依据键盘的位置转换口令，如键盘下移一行。