現(xiàn)在企業(yè)大部分的網(wǎng)絡(luò)設(shè)備與應(yīng)用軟件，都是依靠口令來保證其安全性的。若口令丟失的話，可想而知，會給企業(yè)的網(wǎng)絡(luò)安全帶來多大的風(fēng)險，很可能在不知不覺中，企業(yè)網(wǎng)絡(luò)中的主機(jī)成為了黑客的肉雞，成為他們攻擊其他網(wǎng)絡(luò)的跳板;甚至企業(yè)的那些所謂機(jī)密信息也會一覽無余的顯示在攻擊者面前，成為他們非法牟利的工具，等等。 　　所以，在企業(yè)網(wǎng)絡(luò)管理中，有一項非常重要的任務(wù)，就是對口令安全的管理?？上У氖?，很多企業(yè)在這個方面管理的并不是很好。下面筆者就談?wù)勗诳诹罟芾碇?，有哪些看起來很?fù)雜的密碼但是對于黑客來說，確是很容易破解。根據(jù)密碼破解難度的不同，我這里就總結(jié)出黑客最喜歡用戶設(shè)置的五種網(wǎng)絡(luò)口令，妄大家能夠引以為鑒。 　　一、 用戶名與口令名相同 　　筆者平時跟一些網(wǎng)絡(luò)管理的同行聊天，談到密碼設(shè)置的問題。他們跟我一樣，都發(fā)現(xiàn)用戶在這方面不夠重視，或者說，有偷懶的習(xí)慣。我們在設(shè)置用戶名的時候，如域帳戶或者ERP系統(tǒng)的帳戶名，都會設(shè)置成“第一次登陸必須修改密碼”。但是，當(dāng)用戶在設(shè)置密碼的時候，喜歡把用戶名與口令設(shè)置成相同。確實，用戶名與口令一致，在記憶上可能會比較容易。但是，若從安全角度考慮，其跟沒有設(shè)置密碼，沒有什么不同。 　　因為現(xiàn)在最常用的電子字典密碼破解工具，在破解密碼的時候，第一就是看密碼是否為空，第二就是查密碼是否跟用戶名一致。所以，若把用戶名與密碼設(shè)置為一致的話，很容易被電子字典所破解。而且，即使不用電子工具，我們手工的話，按照這個規(guī)則也可以在一分鐘不到的時間里破解掉。所以，若采用用戶名與密碼一致的口令的話，是非常危險的。 　　不過，我們可以在密碼管理策略中，限制用戶設(shè)置與用戶名相同的密碼。如在域帳戶管理策略中，我們可以限制，用戶設(shè)置的密碼不能跟用戶名相同。在一些應(yīng)用軟件，如ERP系統(tǒng)中，我們也可以做這方面的限制，等等。也就是說，現(xiàn)在很多應(yīng)用軟件開發(fā)商與網(wǎng)絡(luò)設(shè)備廠商已經(jīng)認(rèn)識到這種口令的危害性，在他們的口令安全中，紛紛加入了這方面的限制。如此的話，我們網(wǎng)絡(luò)管理員就可以利用強(qiáng)制的手段，限制用戶設(shè)置跟用戶名一致的口令，從而提高口令的安全性。 　　二、 使用用戶名變換得到的口令 　　有些用戶自以為聰明，既然密碼不能跟用戶相同，則對用戶名進(jìn)行簡單的變幻之后，作為密碼總可以了吧。如把用戶名顛倒順序作為密碼，或者在用戶名后面加上個“123456”作為密碼。從技術(shù)上說，這確實是可行的。但是，這只是在欺瞞我們網(wǎng)絡(luò)管理者，而對于黑客來說，使毫無用處的。 　　我們不要把電子字典想的太簡單，認(rèn)為它不能夠識別這個小伎倆。要知道，電子字典密碼破解工具中，融入了用戶很多常規(guī)的密碼設(shè)置心理。在利用電子字典密碼破解工具的時候，若是一個八位密碼，不管是純數(shù)字還是字母結(jié)合的密碼，電子字典可以在一分之內(nèi)根據(jù)用戶名排列出所有的組合。也就是說，若我們的密碼是對用戶名重新排序而來的，則電子字典就可以在一分鐘之內(nèi)找到正確的密碼?？梢?，若對用戶名進(jìn)行簡單重排序而得到的密碼，看起來好像很復(fù)雜，若用手工破解的話，確實有難度;但是，若黑客利用電子字典等密碼破解工具的話，則破解起來就好像跟切豆腐一樣的容易。 　　可以毫不夸張的說，以用戶名為基礎(chǔ)進(jìn)行變換的密碼，如對用戶名進(jìn)行隨意的排序或者在用戶名后面加上幾個簡單的數(shù)字，這些單純的變換形式，只要用戶想的到的話，一些高級的電子字典破解工具，也想的到。而且因為其運算能力的原因，可能我們需要花個幾分鐘時間去想怎么重新組合合理，而電子字典的話，可能只需要你一半的時間，就可以把這個密碼破解掉。 　　所以，在口令設(shè)置中，特別是一些重要網(wǎng)絡(luò)設(shè)備與應(yīng)用軟件中，不要按這種形式來設(shè)置密碼。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。