现在企业大部分的网络设备与应用软件,都是依靠口令来保证其安全性的。若口令丢失的话,可想而知,会给企业的网络安全带来多大的风险,很可能在不知不觉中,企业网络中的主机成为了黑客的肉鸡,成为他们攻击其他网络的跳板;甚至企业的那些所谓机密信息也会一览无余的显示在攻击者面前,成为他们非法牟利的工具,等等。
所以,在企业网络管理中,有一项非常重要的任务,就是对口令安全的管理。可惜的是,很多企业在这个方面管理的并不是很好。下面笔者就谈谈在口令管理中,有哪些看起来很复杂的密码但是对于黑客来说,确是很容易破解。根据密码破解难度的不同,我这里就总结出黑客最喜欢用户设置的五种网络口令,妄大家能够引以为鉴。
一、 用户名与口令名相同
笔者平时跟一些网络管理的同行聊天,谈到密码设置的问题。他们跟我一样,都发现用户在这方面不够重视,或者说,有偷懒的习惯。我们在设置用户名的时候,如域帐户或者ERP系统的帐户名,都会设置成“第一次登陆必须修改密码”。但是,当用户在设置密码的时候,喜欢把用户名与口令设置成相同。确实,用户名与口令一致,在记忆上可能会比较容易。但是,若从安全角度考虑,其跟没有设置密码,没有什么不同。
因为现在最常用的电子字典密码破解工具,在破解密码的时候,第一就是看密码是否为空,第二就是查密码是否跟用户名一致。所以,若把用户名与密码设置为一致的话,很容易被电子字典所破解。而且,即使不用电子工具,我们手工的话,按照这个规则也可以在一分钟不到的时间里破解掉。所以,若采用用户名与密码一致的口令的话,是非常危险的。
不过,我们可以在密码管理策略中,限制用户设置与用户名相同的密码。如在域帐户管理策略中,我们可以限制,用户设置的密码不能跟用户名相同。在一些应用软件,如ERP系统中,我们也可以做这方面的限制,等等。也就是说,现在很多应用软件开发商与网络设备厂商已经认识到这种口令的危害性,在他们的口令安全中,纷纷加入了这方面的限制。如此的话,我们网络管理员就可以利用强制的手段,限制用户设置跟用户名一致的口令,从而提高口令的安全性。
二、 使用用户名变换得到的口令
有些用户自以为聪明,既然密码不能跟用户相同,则对用户名进行简单的变幻之后,作为密码总可以了吧。如把用户名颠倒顺序作为密码,或者在用户名后面加上个“123456”作为密码。从技术上说,这确实是可行的。但是,这只是在欺瞒我们网络管理者,而对于黑客来说,使毫无用处的。
我们不要把电子字典想的太简单,认为它不能够识别这个小伎俩。要知道,电子字典密码破解工具中,融入了用户很多常规的密码设置心理。在利用电子字典密码破解工具的时候,若是一个八位密码,不管是纯数字还是字母结合的密码,电子字典可以在一分之内根据用户名排列出所有的组合。也就是说,若我们的密码是对用户名重新排序而来的,则电子字典就可以在一分钟之内找到正确的密码。可见,若对用户名进行简单重排序而得到的密码,看起来好像很复杂,若用手工破解的话,确实有难度;但是,若黑客利用电子字典等密码破解工具的话,则破解起来就好像跟切豆腐一样的容易。
可以毫不夸张的说,以用户名为基础进行变换的密码,如对用户名进行随意的排序或者在用户名后面加上几个简单的数字,这些单纯的变换形式,只要用户想的到的话,一些高级的电子字典破解工具,也想的到。而且因为其运算能力的原因,可能我们需要花个几分钟时间去想怎么重新组合合理,而电子字典的话,可能只需要你一半的时间,就可以把这个密码破解掉。
所以,在口令设置中,特别是一些重要网络设备与应用软件中,不要按这种形式来设置密码。三、 采用纯数字的密码
在实际工作中,很多用户还经常喜欢采用123456或者987654等纯数字的密码来当作用户口令。对于这些口令,笔者的感觉是,只能放小人,不能防君子。这些口令,或者可以防止公司的其他员工使用你的电脑,但是,对于黑客来说,那往往是不屑一顾的。
特别是根据密码心理学,很多人喜欢采用123456或者654321等密码,则电子字典在试图破解这些密码的时候,都不需要用到排列组合的知识,而直接利用这些数字去套。如此的话,他们就可以在短时间内破解出这些密码;而且,一些稍为有这方面知识的员工,也可以试图去破解这些密码。
所以,采用纯数字的密码也是黑客比较喜欢的,因为这种密码用户自我感觉良好,但是,在黑客严中,是一文不值。
四、 使用生日或者身分证号码作为密码
根据笔者的了解,也有相当一部分喜欢采用身份证号码或者生日作为密码。这些密码虽然长度比较长,如生日的话,就有8位;若采用身份证的话,则有18位之多,若知识采用其中的一部分,长度也比较长。这看起来比较安全,但是,事实是如此吗?
若我们以生日8位为例,看看其有几种的排列可能?其没一位有0到9个数字10种可能,一共8位,则其密码组合总共有100000000种可能。这种排列组合,若要手工来进行排列的话,那确实需要花费时间。可惜的是,在计算机这种计算力超强的工具面前,其只需要几分钟的时间,就可以穷举所有可能的排列。而且,无论用户采用的是什么格式,如年月日还是日月年,都可以轻而易举的破解。
即使用户采用身份证的号码,其长度有十八位,但是,因为其采用的都是纯数字的密码,所以,其利用电子字典破解起来,也是比较容易的,只是时间上可能要稍微久一点。
所以,用户需要明白一个道理,密码复杂性并不是仅仅依靠密码的长度。若想对于纯数字密码来说,你即使设置了18位,有时候,还可能不如六位的数字与字符结合的方式的密码来的有效。另外,若考虑生日组成的特殊性,如月的话最多不超过12、日不超过31等等,则破解密码的时间还可以缩短很多。
针对这种纯数字的密码,我们也可以通过口令复杂性管理策略,来限制用户在设置密码的时候,不能够简单的采用这些纯数字的密码。若用户设置的密码都是数字组成的,则系统是不会接受的。如此的话,就可以强制的增加密码的复杂性,从而来达到密码安全的效果。
五、 纯因为单词的密码或者纯拼音的密码
纯因为单词的密码或者纯拼音的密码,虽然破解起来没有上面这些密码这么简单,但是,黑客仍然是比较喜欢的。
因为这种密码的话,破解起来比前面这些需要困难一点,花费的时间也会更长一点。但是,现在把一本英汉字典中的几十万英文单词搬到电子字典中,也不是什么困难的事情。就拿我们常用的文曲星来说,就包含大部分的英文单词。若我们采用的英文单词口令都在这个电子字典中的话,则黑客仍然可以在五分钟之内破解。除非你采用的是一些非常冷僻的单词,或者说你单词记错了、漏掉了一个字符,此时,电子应用工具可能就无能为力了。
总之,若采用纯单词的密码来说,对于黑客仍然没有多少威胁。
既然以上这些密码都不是安全的,那什么样的密码才是安全的呢?其实,要做到密码的安全性,很简单,只需要记住以下这些规则。
一是密码不要有什么实际意思。也就是说,不要用英文单词或者我们的名字作为密码。因为这些密码破解起来相对比较容易。
二是不要采用纯数字或者纯字符的密码。这种即使你组合最复杂,由于其组合的个数仍然比较少,所以,破解起来也没有用户想的那么复杂。
我在公司里,一般建议用户在设置密码的时候,可以采用八位,分别由数字、字符以及一个特殊符号如标点符号组成。这个密码看起来可能比较简单,但是,其破解起来的话,要比18位身份证号码来说,要难的多。 只是在采用这些密码的时候,用户需要花点心思,记一下即可。
另外,我们在密码管理中,若采用锁定策略,即当密码错误数超过多少时,自动把帐户名锁定。这也可以提高用户名与密码的安全性。