《网络攻防技术(第2版)》 —3.2 针对口令强度的攻击

举报
华章计算机 发表于 2019/12/15 22:21:01 2019/12/15
【摘要】 本节书摘来自华章计算机《网络攻防技术(第2版)》 一书中第3章,第3.2.1节,作者是朱俊虎,奚 琪 张连成 周天阳 曹 琰 颜学雄 彭建山 邱 菡 胡雪丽 尹中旭 秦艳锋 王清贤 主审。

3.2 针对口令强度的攻击

针对口令强度的攻击要对目标口令通过不断地猜测、推断进行破解尝试,越简单的口令越容易被破解。

3.2.1 强口令与弱口令

理论上来讲,任何口令都不是绝对安全的,因为无论用户选择多么复杂的口令,它的取值只能是有限个数值中的一个,如果给一名破解者足够的时间,他总可以用穷举法把这个口令猜出来。但实际上,选择一个安全的口令可以提高系统的安全性,因为很少有攻击者有足够的耐心和时间去破解一个口令。

从技术的角度,口令保护的关键在于增加攻击者的时间代价。因此,攻击者总会选择先破解不安全的口令,而舍弃那些相对坚固的口令。

弱口令一般都是人为原因造成的,因为人们在创建口令时往往倾向于选择简单、有规律、容易记忆的口令,然而,这种口令安全性不高,为攻击者带来了很大的方便。

曾经有人做过一个调查,让一百名大学生写出两个口令,并告知他们这两个口令将用于电脑开机,非常重要,且将来使用率也很高,要求他们务必慎重考虑。测试结果如下:

37人选择用自己姓名的汉语拼音全拼,如wanghai、zhangli等。

23人选择用常用的英文单词,如hello、good、anything等。

18人选择用计算机中经常出现的单词,如system、command、copy、harddisk等。

7人选择用自己的出生日期,如780403、199703等。

21人选择两个相同口令,接近相同的有33人。

可见,以上85人选择了极不安全的口令,这个比例是相当高的,而剩余的15人的口令也不是完全安全的,例如有的人选择了自己名字的拼音加上日期。只有15人中的少数人选择了比较安全的口令。

现在虽然很多系统有着较为齐全的安全防护设施,但往往因为管理员选择了简单的口令,使得整个网络系统的安全性大打折扣。例如,下面几种口令是不安全的:

与用户名相同的口令。例如,用户名为test,口令也是test。

常用的单词和数字。例如,hello、12345、12345678、Password等。

与键盘位置相关的口令。例如,1qaz2wsx等。

以年月日作为口令。很多人都用自己的生日做口令,认为这样的口令足够长,而且便于记忆。其实,对于攻击者来说,这种口令的猜解范围是很小的。以日期20170518为例,前两位可能选择的值有19或20;第5位和第6位代表月份,有12个选择;第7位和第8位代表日期,有31个选择。因此,8位的日期最多可能有2×100×12×31= 74400种组合。

使用11位手机号码。例如,13700108888。

以流行文化以及体育名词作为口令。例如,starwars(星球大战)、football等。

使用用户名加后缀的口令相对可靠,但也不是完全安全的,尤其是常用的后缀,如123、2000等。

较为安全的口令应该不容易被发现规律,并且有足够的长度。对长度的要求随应用环境的不同而不同,应该使得攻击者在某个时间段内很难破解。虽然按照上述规则生成的口令安全性很高,但不便于记忆。为了在安全和易用之间寻求一种平衡,可以采用一些变通方法,比如:

选择一个熟悉的英文单词,并做适当变形,如sys@tem。

依据键盘的位置转换口令,如键盘下移一行。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。