《网络攻防技术(第2版)》 —3.2 针对口令强度的攻击
3.2 针对口令强度的攻击
针对口令强度的攻击要对目标口令通过不断地猜测、推断进行破解尝试,越简单的口令越容易被破解。
3.2.1 强口令与弱口令
理论上来讲,任何口令都不是绝对安全的,因为无论用户选择多么复杂的口令,它的取值只能是有限个数值中的一个,如果给一名破解者足够的时间,他总可以用穷举法把这个口令猜出来。但实际上,选择一个安全的口令可以提高系统的安全性,因为很少有攻击者有足够的耐心和时间去破解一个口令。
从技术的角度,口令保护的关键在于增加攻击者的时间代价。因此,攻击者总会选择先破解不安全的口令,而舍弃那些相对坚固的口令。
弱口令一般都是人为原因造成的,因为人们在创建口令时往往倾向于选择简单、有规律、容易记忆的口令,然而,这种口令安全性不高,为攻击者带来了很大的方便。
曾经有人做过一个调查,让一百名大学生写出两个口令,并告知他们这两个口令将用于电脑开机,非常重要,且将来使用率也很高,要求他们务必慎重考虑。测试结果如下:
37人选择用自己姓名的汉语拼音全拼,如wanghai、zhangli等。
23人选择用常用的英文单词,如hello、good、anything等。
18人选择用计算机中经常出现的单词,如system、command、copy、harddisk等。
7人选择用自己的出生日期,如780403、199703等。
21人选择两个相同口令,接近相同的有33人。
可见,以上85人选择了极不安全的口令,这个比例是相当高的,而剩余的15人的口令也不是完全安全的,例如有的人选择了自己名字的拼音加上日期。只有15人中的少数人选择了比较安全的口令。
现在虽然很多系统有着较为齐全的安全防护设施,但往往因为管理员选择了简单的口令,使得整个网络系统的安全性大打折扣。例如,下面几种口令是不安全的:
与用户名相同的口令。例如,用户名为test,口令也是test。
常用的单词和数字。例如,hello、12345、12345678、Password等。
与键盘位置相关的口令。例如,1qaz2wsx等。
以年月日作为口令。很多人都用自己的生日做口令,认为这样的口令足够长,而且便于记忆。其实,对于攻击者来说,这种口令的猜解范围是很小的。以日期20170518为例,前两位可能选择的值有19或20;第5位和第6位代表月份,有12个选择;第7位和第8位代表日期,有31个选择。因此,8位的日期最多可能有2×100×12×31= 74400种组合。
使用11位手机号码。例如,13700108888。
以流行文化以及体育名词作为口令。例如,starwars(星球大战)、football等。
使用用户名加后缀的口令相对可靠,但也不是完全安全的,尤其是常用的后缀,如123、2000等。
较为安全的口令应该不容易被发现规律,并且有足够的长度。对长度的要求随应用环境的不同而不同,应该使得攻击者在某个时间段内很难破解。虽然按照上述规则生成的口令安全性很高,但不便于记忆。为了在安全和易用之间寻求一种平衡,可以采用一些变通方法,比如:
选择一个熟悉的英文单词,并做适当变形,如sys@tem。
依据键盘的位置转换口令,如键盘下移一行。
- 点赞
- 收藏
- 关注作者
评论(0)