现在企业大部分的网络设备与应用软件,都是依靠口令来保证其安全性的。若口令丢失的话,可想而知,会给企业的网络安全带来多大的风险,很可能在不知不觉 中,企业网络中的主机成为了黑客的肉鸡,成为他们攻击其他网络的跳板;甚至企业的那些所谓机密信息也会一览无余的显示在攻击者面前,成为他们非法牟利的工 具,等等。 所以,在企业网络管理中,有一项非常重要的任务,就是对口令安全的管理。可惜的是,很多企业在这个方面管理的并不是很好。下面笔者就谈谈在口令管理 中,有哪些看起来很复杂的密码但是对于黑客来说,确是很容易破解。根据密码破解难度的不同,我这里就总结出黑客最喜欢用户设置的五种网络口令,妄大家能够 引以为鉴。 一、 用户名与口令名相同 笔者平时跟一些网络管理的同行聊天,谈到密码设置的问题。他们跟我一样,都发现用户在这方面不够重视,或者说,有偷懒的习惯。我们在设置用户名的时 候,如域帐户或者ERP系统的帐户名,都会设置成“第一次登陆必须修改密码”。但是,当用户在设置密码的时候,喜欢把用户名与口令设置成相同。确实,用户 名与口令一致,在记忆上可能会比较容易。但是,若从安全角度考虑,其跟没有设置密码,没有什么不同。 因为现在最常用的电子字典密码破解工具,在破解密码的时候,第一就是看密码是否为空,第二就是查密码是否跟用户名一致。所以,若把用户名与密码设置为 一致的话,很容易被电子字典所破解。而且,即使不用电子工具,我们手工的话,按照这个规则也可以在一分钟不到的时间里破解掉。所以,若采用用户名与密码一 致的口令的话,是非常危险的。 不过,我们可以在密码管理策略中,限制用户设置与用户名相同的密码。如在域帐户管理策略中,我们可以限制,用户设置的密码不能跟用户名相同。在一些应 用软件,如ERP系统中,我们也可以做这方面的限制,等等。也就是说,现在很多应用软件开发商与网络设备厂商已经认识到这种口令的危害性,在他们的口令安 全中,纷纷加入了这方面的限制。如此的话,我们网络管理员就可以利用强制的手段,限制用户设置跟用户名一致的口令,从而提高口令的安全性。 二、 使用用户名变换得到的口令 有些用户自以为聪明,既然密码不能跟用户相同,则对用户名进行简单的变幻之后,作为密码总可以了吧。如把用户名颠倒顺序作为密码,或者在用户名后面加 上个“123456”作为密码。从技术上说,这确实是可行的。但是,这只是在欺瞒我们网络管理者,而对于黑客来说,使毫无用处的。 我们不要把电子字典想的太简单,认为它不能够识别这个小伎俩。要知道,电子字典密码破解工具中,融入了用户很多常规的密码设置心理。在利用电子字典密 码破解工具的时候,若是一个八位密码,不管是纯数字还是字母结合的密码,电子字典可以在一分之内根据用户名排列出所有的组合。也就是说,若我们的密码是对 用户名重新排序而来的,则电子字典就可以在一分钟之内找到正确的密码。可见,若对用户名进行简单重排序而得到的密码,看起来好像很复杂,若用手工破解的 话,确实有难度;但是,若黑客利用电子字典等密码破解工具的话,则破解起来就好像跟切豆腐一样的容易。 可以毫不夸张的说,以用户名为基础进行变换的密码,如对用户名进行随意的排序或者在用户名后面加上几个简单的数字,这些单纯的变换形式,只要用户想的 到的话,一些高级的电子字典破解工具,也想的到。而且因为其运算能力的原因,可能我们需要花个几分钟时间去想怎么重新组合合理,而电子字典的话,可能只需 要你一半的时间,就可以把这个密码破解掉。 所以,在口令设置中,特别是一些重要网络设备与应用软件中,不要按这种形式来设置密码。
……