网络攻防技术第2版)》 —3.2 针对口令强度的攻击

网友投稿 738 2022-05-28

《网络攻防技术(第2版)》 —3.2 针对口令强度的攻击

3.2 针对口令强度的攻击

针对口令强度的攻击要对目标口令通过不断地猜测、推断进行破解尝试,越简单的口令越容易被破解。

3.2.1 强口令与弱口令

理论上来讲,任何口令都不是绝对安全的,因为无论用户选择多么复杂的口令,它的取值只能是有限个数值中的一个,如果给一名破解者足够的时间,他总可以用穷举法把这个口令猜出来。但实际上,选择一个安全的口令可以提高系统的安全性,因为很少有攻击者有足够的耐心和时间去破解一个口令。

从技术的角度,口令保护的关键在于增加攻击者的时间代价。因此,攻击者总会选择先破解不安全的口令,而舍弃那些相对坚固的口令。

弱口令一般都是人为原因造成的,因为人们在创建口令时往往倾向于选择简单、有规律、容易记忆的口令,然而,这种口令安全性不高,为攻击者带来了很大的方便。

曾经有人做过一个调查,让一百名大学生写出两个口令,并告知他们这两个口令将用于电脑开机,非常重要,且将来使用率也很高,要求他们务必慎重考虑。测试结果如下:

37人选择用自己姓名的汉语拼音全拼,如wanghai、zhangli等。

23人选择用常用的英文单词,如hello、good、anything等。

18人选择用计算机中经常出现的单词,如system、command、copy、harddisk等。

7人选择用自己的出生日期,如780403、199703等。

21人选择两个相同口令,接近相同的有33人。

可见,以上85人选择了极不安全的口令,这个比例是相当高的,而剩余的15人的口令也不是完全安全的,例如有的人选择了自己名字的拼音加上日期。只有15人中的少数人选择了比较安全的口令。

现在虽然很多系统有着较为齐全的安全防护设施,但往往因为管理员选择了简单的口令,使得整个网络系统的安全性大打折扣。例如,下面几种口令是不安全的:

与用户名相同的口令。例如,用户名为test,口令也是test。

常用的单词和数字。例如,hello、12345、12345678、Password等。

与键盘位置相关的口令。例如,1qaz2wsx等。

以年月日作为口令。很多人都用自己的生日做口令,认为这样的口令足够长,而且便于记忆。其实,对于攻击者来说,这种口令的猜解范围是很小的。以日期20170518为例,前两位可能选择的值有19或20;第5位和第6位代表月份,有12个选择;第7位和第8位代表日期,有31个选择。因此,8位的日期最多可能有2×100×12×31= 74400种组合。

使用11位手机号码。例如,13700108888。

以流行文化以及体育名词作为口令。例如,starwars(星球大战)、football等。

使用用户名加后缀的口令相对可靠,但也不是完全安全的,尤其是常用的后缀,如123、2000等。

较为安全的口令应该不容易被发现规律,并且有足够的长度。对长度的要求随应用环境的不同而不同,应该使得攻击者在某个时间段内很难破解。虽然按照上述规则生成的口令安全性很高,但不便于记忆。为了在安全和易用之间寻求一种平衡,可以采用一些变通方法,比如:

选择一个熟悉的英文单词,并做适当变形,如sys@tem。

依据键盘的位置转换口令,如键盘下移一行。

通用安全

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:SPEC 测试失败问题总结分享
下一篇:技术分享 | web 控件的交互进阶
相关文章