所以,在企業(yè)網(wǎng)絡(luò)管理中,有一項非常重要的任務(wù),就是對口令安全的管理。可惜的是,很多企業(yè)在這個方面管理的并不是很好。下面筆者就談?wù)勗诳诹罟芾碇校心男┛雌饋砗軓?fù)雜的密碼但是對于黑客來說,確是很容易破解。根據(jù)密碼破解難度的不同,我這里就總結(jié)出黑客最喜歡用戶設(shè)置的五種網(wǎng)絡(luò)口令,妄大家能夠引以為鑒。
一、 用戶名與口令名相同
筆者平時跟一些網(wǎng)絡(luò)管理的同行聊天,談到密碼設(shè)置的問題。他們跟我一樣,都發(fā)現(xiàn)用戶在這方面不夠重視,或者說,有偷懶的習(xí)慣。我們在設(shè)置用戶名的時候,如域帳戶或者ERP系統(tǒng)的帳戶名,都會設(shè)置成“第一次登陸必須修改密碼”。但是,當(dāng)用戶在設(shè)置密碼的時候,喜歡把用戶名與口令設(shè)置成相同。確實,用戶名與口令一致,在記憶上可能會比較容易。但是,若從安全角度考慮,其跟沒有設(shè)置密碼,沒有什么不同。
因為現(xiàn)在最常用的電子字典密碼破解工具,在破解密碼的時候,第一就是看密碼是否為空,第二就是查密碼是否跟用戶名一致。所以,若把用戶名與密碼設(shè)置為一致的話,很容易被電子字典所破解。而且,即使不用電子工具,我們手工的話,按照這個規(guī)則也可以在一分鐘不到的時間里破解掉。所以,若采用用戶名與密碼一致的口令的話,是非常危險的。
不過,我們可以在密碼管理策略中,限制用戶設(shè)置與用戶名相同的密碼。如在域帳戶管理策略中,我們可以限制,用戶設(shè)置的密碼不能跟用戶名相同。在一些應(yīng)用軟件,如ERP系統(tǒng)中,我們也可以做這方面的限制,等等。也就是說,現(xiàn)在很多應(yīng)用軟件開發(fā)商與網(wǎng)絡(luò)設(shè)備廠商已經(jīng)認(rèn)識到這種口令的危害性,在他們的口令安全中,紛紛加入了這方面的限制。如此的話,我們網(wǎng)絡(luò)管理員就可以利用強(qiáng)制的手段,限制用戶設(shè)置跟用戶名一致的口令,從而提高口令的安全性。
二、 使用用戶名變換得到的口令
有些用戶自以為聰明,既然密碼不能跟用戶相同,則對用戶名進(jìn)行簡單的變幻之后,作為密碼總可以了吧。如把用戶名顛倒順序作為密碼,或者在用戶名后面加上個“123456”作為密碼。從技術(shù)上說,這確實是可行的。但是,這只是在欺瞞我們網(wǎng)絡(luò)管理者,而對于黑客來說,使毫無用處的。
我們不要把電子字典想的太簡單,認(rèn)為它不能夠識別這個小伎倆。要知道,電子字典密碼破解工具中,融入了用戶很多常規(guī)的密碼設(shè)置心理。在利用電子字典密碼破解工具的時候,若是一個八位密碼,不管是純數(shù)字還是字母結(jié)合的密碼,電子字典可以在一分之內(nèi)根據(jù)用戶名排列出所有的組合。也就是說,若我們的密碼是對用戶名重新排序而來的,則電子字典就可以在一分鐘之內(nèi)找到正確的密碼。可見,若對用戶名進(jìn)行簡單重排序而得到的密碼,看起來好像很復(fù)雜,若用手工破解的話,確實有難度;但是,若黑客利用電子字典等密碼破解工具的話,則破解起來就好像跟切豆腐一樣的容易。
可以毫不夸張的說,以用戶名為基礎(chǔ)進(jìn)行變換的密碼,如對用戶名進(jìn)行隨意的排序或者在用戶名后面加上幾個簡單的數(shù)字,這些單純的變換形式,只要用戶想的到的話,一些高級的電子字典破解工具,也想的到。而且因為其運算能力的原因,可能我們需要花個幾分鐘時間去想怎么重新組合合理,而電子字典的話,可能只需要你一半的時間,就可以把這個密碼破解掉。
所以,在口令設(shè)置中,特別是一些重要網(wǎng)絡(luò)設(shè)備與應(yīng)用軟件中,不要按這種形式來設(shè)置密碼。
#p#副標(biāo)題#e#
三、 采用純數(shù)字的密碼
在實際工作中,很多用戶還經(jīng)常喜歡采用123456或者987654等純數(shù)字的密碼來當(dāng)作用戶口令。對于這些口令,筆者的感覺是,只能放小人,不能防君子。這些口令,或者可以防止公司的其他員工使用你的電腦,但是,對于黑客來說,那往往是不屑一顧的。
特別是根據(jù)密碼心理學(xué),很多人喜歡采用123456或者654321等密碼,則電子字典在試圖破解這些密碼的時候,都不需要用到排列組合的知識,而直接利用這些數(shù)字去套。如此的話,他們就可以在短時間內(nèi)破解出這些密碼;而且,一些稍為有這方面知識的員工,也可以試圖去破解這些密碼。
所以,采用純數(shù)字的密碼也是黑客比較喜歡的,因為這種密碼用戶自我感覺良好,但是,在黑客嚴(yán)中,是一文不值。
四、 使用生日或者身分證號碼作為密碼
根據(jù)筆者的了解,也有相當(dāng)一部分喜歡采用身份證號碼或者生日作為密碼。這些密碼雖然長度比較長,如生日的話,就有8位;若采用身份證的話,則有18位之多,若知識采用其中的一部分,長度也比較長。這看起來比較安全,但是,事實是如此嗎?
若我們以生日8位為例,看看其有幾種的排列可能?其沒一位有0到9個數(shù)字10種可能,一共8位,則其密碼組合總共有100000000種可能。這種排列組合,若要手工來進(jìn)行排列的話,那確實需要花費時間。可惜的是,在計算機(jī)這種計算力超強(qiáng)的工具面前,其只需要幾分鐘的時間,就可以窮舉所有可能的排列。而且,無論用戶采用的是什么格式,如年月日還是日月年,都可以輕而易舉的破解。
即使用戶采用身份證的號碼,其長度有十八位,但是,因為其采用的都是純數(shù)字的密碼,所以,其利用電子字典破解起來,也是比較容易的,只是時間上可能要稍微久一點。
所以,用戶需要明白一個道理,密碼復(fù)雜性并不是僅僅依靠密碼的長度。若想對于純數(shù)字密碼來說,你即使設(shè)置了18位,有時候,還可能不如六位的數(shù)字與字符結(jié)合的方式的密碼來的有效。另外,若考慮生日組成的特殊性,如月的話最多不超過12、日不超過31等等,則破解密碼的時間還可以縮短很多。
針對這種純數(shù)字的密碼,我們也可以通過口令復(fù)雜性管理策略,來限制用戶在設(shè)置密碼的時候,不能夠簡單的采用這些純數(shù)字的密碼。若用戶設(shè)置的密碼都是數(shù)字組成的,則系統(tǒng)是不會接受的。如此的話,就可以強(qiáng)制的增加密碼的復(fù)雜性,從而來達(dá)到密碼安全的效果。
五、 純因為單詞的密碼或者純拼音的密碼
純因為單詞的密碼或者純拼音的密碼,雖然破解起來沒有上面這些密碼這么簡單,但是,黑客仍然是比較喜歡的。
因為這種密碼的話,破解起來比前面這些需要困難一點,花費的時間也會更長一點。但是,現(xiàn)在把一本英漢字典中的幾十萬英文單詞搬到電子字典中,也不是什么困難的事情。就拿我們常用的文曲星來說,就包含大部分的英文單詞。若我們采用的英文單詞口令都在這個電子字典中的話,則黑客仍然可以在五分鐘之內(nèi)破解。除非你采用的是一些非常冷僻的單詞,或者說你單詞記錯了、漏掉了一個字符,此時,電子應(yīng)用工具可能就無能為力了。
總之,若采用純單詞的密碼來說,對于黑客仍然沒有多少威脅。
既然以上這些密碼都不是安全的,那什么樣的密碼才是安全的呢?其實,要做到密碼的安全性,很簡單,只需要記住以下這些規(guī)則。
一是密碼不要有什么實際意思。也就是說,不要用英文單詞或者我們的名字作為密碼。因為這些密碼破解起來相對比較容易。
二是不要采用純數(shù)字或者純字符的密碼。這種即使你組合最復(fù)雜,由于其組合的個數(shù)仍然比較少,所以,破解起來也沒有用戶想的那么復(fù)雜。
我在公司里,一般建議用戶在設(shè)置密碼的時候,可以采用八位,分別由數(shù)字、字符以及一個特殊符號如標(biāo)點符號組成。這個密碼看起來可能比較簡單,但是,其破解起來的話,要比18位身份證號碼來說,要難的多。 只是在采用這些密碼的時候,用戶需要花點心思,記一下即可。
另外,我們在密碼管理中,若采用鎖定策略,即當(dāng)密碼錯誤數(shù)超過多少時,自動把帳戶名鎖定。這也可以提高用戶名與密碼的安全性。
