1.口令破解攻击及防御措施
用户使用的鉴别依据(口令)通常由用户默认生成或由用户生成,为了记忆的方便, 用户通常不对系统生成的默认口令进行更改或选择与自己相关的信息来设置口令,例如自己和亲人的生曰、纪念日、电话号码甚至使用易于记忆的字符串。这种类型的口令虽然便于记忆,但容易猜测,对攻击者而言,使用这样口令进行保护的系统是非常脆弱的。
穷举攻击是针对口令进行破解的一种方式,它通过穷举所有可能的司令的方法来进行攻击。假设某用户设置的口令是7位数字,那么最多存在10的七次方种口令。尽管一次输人注游{信息安,釜专业人弱。皤洲教粑}㈠弱日aS0)猜对口令的可能性为千万分之一,但在现有网络计算环境中,猜测一个口令的投入很小,攻击者很容易做到利用软件连续测试10万、100万,甚至1000万个口令,理论上,只要有足够的时间,所有口令都可以被破解。著名的密码破解软件john和LOphtCrack,就是利用穷举方式对Linux和Winclows系统中存储的口令散列值进行穷举破解。随着技术的发展,口令破解中使用口令字典以提高破解的效率已经成为主流,攻击者预先构建了用户经常会使用的各种口令,通常是英语单词、用户名+生日组合及其他可能的组合的口令字典。在攻击时使用口令破解软件,从口令字典中逐个选择一个口令进行尝试,如果口令错误,则选择下一个口令继续进行尝试,直到猜测成功或字典上所有口令被遍历。由于网络资源的廉价(想象一下现在家用宽带每个月的费用),攻击者进行这种类型的攻击成本极低。攻击者只需要部署一台计算机,不停的针对目标账户进行登录尝试就可以。
针对口令破解的防护措施一是提高口令的强度,加大攻击者破解的时间和难度,二是阻止攻击者反复尝试的可能;1)提高口令的强度目标是确保密码具有足够的复杂性在应用系统中设置安全策略,避免用户使用过于简单的口令;对用户进行安全意识教育,使用户理解弱口令的安全风险并学会如何设置安全的口令。 安全的口令通常包括以下两个特征:易于记忆,而且攻击者难以猜测。安全的口令应达到一 定的长度,同时包含大写字母、小写字母、数字、特殊字符等,还要避免采用一些规律过于明显的组合。例如:口令zaq12wsxZAQ!@WSX看似复杂,但其键盘顺序规律过于明显,已经被很多攻击者列入常用攻击组合。