所以,在企業網絡管理中,有一項非常重要的任務,就是對口令安全的管理。可惜的是,很多企業在這個方面管理的并不是很好。下面筆者就談談在口令管理中,有哪些看起來很復雜的密碼但是對于黑客來說,確是很容易破解。根據密碼破解難度的不同,我這里就總結出黑客最喜歡用戶設置的五種網絡口令,妄大家能夠引以為鑒。
一、 用戶名與口令名相同
筆者平時跟一些網絡管理的同行聊天,談到密碼設置的問題。他們跟我一樣,都發現用戶在這方面不夠重視,或者說,有偷懶的習慣。我們在設置用戶名的時候,如域帳戶或者ERP系統的帳戶名,都會設置成“第一次登陸必須修改密碼”。但是,當用戶在設置密碼的時候,喜歡把用戶名與口令設置成相同。確實,用戶名與口令一致,在記憶上可能會比較容易。但是,若從安全角度考慮,其跟沒有設置密碼,沒有什么不同。
因為現在最常用的電子字典密碼破解工具,在破解密碼的時候,第一就是看密碼是否為空,第二就是查密碼是否跟用戶名一致。所以,若把用戶名與密碼設置為一致的話,很容易被電子字典所破解。而且,即使不用電子工具,我們手工的話,按照這個規則也可以在一分鐘不到的時間里破解掉。所以,若采用用戶名與密碼一致的口令的話,是非常危險的。
不過,我們可以在密碼管理策略中,限制用戶設置與用戶名相同的密碼。如在域帳戶管理策略中,我們可以限制,用戶設置的密碼不能跟用戶名相同。在一些應用軟件,如ERP系統中,我們也可以做這方面的限制,等等。也就是說,現在很多應用軟件開發商與網絡設備廠商已經認識到這種口令的危害性,在他們的口令安全中,紛紛加入了這方面的限制。如此的話,我們網絡管理員就可以利用強制的手段,限制用戶設置跟用戶名一致的口令,從而提高口令的安全性。
二、 使用用戶名變換得到的口令
有些用戶自以為聰明,既然密碼不能跟用戶相同,則對用戶名進行簡單的變幻之后,作為密碼總可以了吧。如把用戶名顛倒順序作為密碼,或者在用戶名后面加上個“123456”作為密碼。從技術上說,這確實是可行的。但是,這只是在欺瞞我們網絡管理者,而對于黑客來說,使毫無用處的。
我們不要把電子字典想的太簡單,認為它不能夠識別這個小伎倆。要知道,電子字典密碼破解工具中,融入了用戶很多常規的密碼設置心理。在利用電子字典密碼破解工具的時候,若是一個八位密碼,不管是純數字還是字母結合的密碼,電子字典可以在一分之內根據用戶名排列出所有的組合。也就是說,若我們的密碼是對用戶名重新排序而來的,則電子字典就可以在一分鐘之內找到正確的密碼。可見,若對用戶名進行簡單重排序而得到的密碼,看起來好像很復雜,若用手工破解的話,確實有難度;但是,若黑客利用電子字典等密碼破解工具的話,則破解起來就好像跟切豆腐一樣的容易。
可以毫不夸張的說,以用戶名為基礎進行變換的密碼,如對用戶名進行隨意的排序或者在用戶名后面加上幾個簡單的數字,這些單純的變換形式,只要用戶想的到的話,一些高級的電子字典破解工具,也想的到。而且因為其運算能力的原因,可能我們需要花個幾分鐘時間去想怎么重新組合合理,而電子字典的話,可能只需要你一半的時間,就可以把這個密碼破解掉。
所以,在口令設置中,特別是一些重要網絡設備與應用軟件中,不要按這種形式來設置密碼。
#p#副標題#e#
三、 采用純數字的密碼
在實際工作中,很多用戶還經常喜歡采用123456或者987654等純數字的密碼來當作用戶口令。對于這些口令,筆者的感覺是,只能放小人,不能防君子。這些口令,或者可以防止公司的其他員工使用你的電腦,但是,對于黑客來說,那往往是不屑一顧的。
特別是根據密碼心理學,很多人喜歡采用123456或者654321等密碼,則電子字典在試圖破解這些密碼的時候,都不需要用到排列組合的知識,而直接利用這些數字去套。如此的話,他們就可以在短時間內破解出這些密碼;而且,一些稍為有這方面知識的員工,也可以試圖去破解這些密碼。
所以,采用純數字的密碼也是黑客比較喜歡的,因為這種密碼用戶自我感覺良好,但是,在黑客嚴中,是一文不值。
四、 使用生日或者身分證號碼作為密碼
根據筆者的了解,也有相當一部分喜歡采用身份證號碼或者生日作為密碼。這些密碼雖然長度比較長,如生日的話,就有8位;若采用身份證的話,則有18位之多,若知識采用其中的一部分,長度也比較長。這看起來比較安全,但是,事實是如此嗎?
若我們以生日8位為例,看看其有幾種的排列可能?其沒一位有0到9個數字10種可能,一共8位,則其密碼組合總共有100000000種可能。這種排列組合,若要手工來進行排列的話,那確實需要花費時間。可惜的是,在計算機這種計算力超強的工具面前,其只需要幾分鐘的時間,就可以窮舉所有可能的排列。而且,無論用戶采用的是什么格式,如年月日還是日月年,都可以輕而易舉的破解。
即使用戶采用身份證的號碼,其長度有十八位,但是,因為其采用的都是純數字的密碼,所以,其利用電子字典破解起來,也是比較容易的,只是時間上可能要稍微久一點。
所以,用戶需要明白一個道理,密碼復雜性并不是僅僅依靠密碼的長度。若想對于純數字密碼來說,你即使設置了18位,有時候,還可能不如六位的數字與字符結合的方式的密碼來的有效。另外,若考慮生日組成的特殊性,如月的話最多不超過12、日不超過31等等,則破解密碼的時間還可以縮短很多。
針對這種純數字的密碼,我們也可以通過口令復雜性管理策略,來限制用戶在設置密碼的時候,不能夠簡單的采用這些純數字的密碼。若用戶設置的密碼都是數字組成的,則系統是不會接受的。如此的話,就可以強制的增加密碼的復雜性,從而來達到密碼安全的效果。
五、 純因為單詞的密碼或者純拼音的密碼
純因為單詞的密碼或者純拼音的密碼,雖然破解起來沒有上面這些密碼這么簡單,但是,黑客仍然是比較喜歡的。
因為這種密碼的話,破解起來比前面這些需要困難一點,花費的時間也會更長一點。但是,現在把一本英漢字典中的幾十萬英文單詞搬到電子字典中,也不是什么困難的事情。就拿我們常用的文曲星來說,就包含大部分的英文單詞。若我們采用的英文單詞口令都在這個電子字典中的話,則黑客仍然可以在五分鐘之內破解。除非你采用的是一些非常冷僻的單詞,或者說你單詞記錯了、漏掉了一個字符,此時,電子應用工具可能就無能為力了。
總之,若采用純單詞的密碼來說,對于黑客仍然沒有多少威脅。
既然以上這些密碼都不是安全的,那什么樣的密碼才是安全的呢?其實,要做到密碼的安全性,很簡單,只需要記住以下這些規則。
一是密碼不要有什么實際意思。也就是說,不要用英文單詞或者我們的名字作為密碼。因為這些密碼破解起來相對比較容易。
二是不要采用純數字或者純字符的密碼。這種即使你組合最復雜,由于其組合的個數仍然比較少,所以,破解起來也沒有用戶想的那么復雜。
我在公司里,一般建議用戶在設置密碼的時候,可以采用八位,分別由數字、字符以及一個特殊符號如標點符號組成。這個密碼看起來可能比較簡單,但是,其破解起來的話,要比18位身份證號碼來說,要難的多。 只是在采用這些密碼的時候,用戶需要花點心思,記一下即可。
另外,我們在密碼管理中,若采用鎖定策略,即當密碼錯誤數超過多少時,自動把帳戶名鎖定。這也可以提高用戶名與密碼的安全性。
