《網絡攻防技術（第2版）》 —3.2　針對口令強度的攻擊

3.2　針對口令強度的攻擊

針對口令強度的攻擊要對目標口令通過不斷地猜測、推斷進行破解嘗試，越簡單的口令越容易被破解。

3.2.1　強口令與弱口令

理論上來講，任何口令都不是絕對安全的，因為無論用戶選擇多么復雜的口令，它的取值只能是有限個數值中的一個，如果給一名破解者足夠的時間，他總可以用窮舉法把這個口令猜出來。但實際上，選擇一個安全的口令可以提高系統的安全性，因為很少有攻擊者有足夠的耐心和時間去破解一個口令。

從技術的角度，口令保護的關鍵在于增加攻擊者的時間代價。因此，攻擊者總會選擇先破解不安全的口令，而舍棄那些相對堅固的口令。

弱口令一般都是人為原因造成的，因為人們在創建口令時往往傾向于選擇簡單、有規律、容易記憶的口令，然而，這種口令安全性不高，為攻擊者帶來了很大的方便。

曾經有人做過一個調查，讓一百名大學生寫出兩個口令，并告知他們這兩個口令將用于電腦開機，非常重要，且將來使用率也很高，要求他們務必慎重考慮。測試結果如下：

37人選擇用自己姓名的漢語拼音全拼，如wanghai、zhangli等。

23人選擇用常用的英文單詞，如hello、good、anything等。

18人選擇用計算機中經常出現的單詞，如system、command、copy、harddisk等。

7人選擇用自己的出生日期，如780403、199703等。

21人選擇兩個相同口令，接近相同的有33人。

可見，以上85人選擇了極不安全的口令，這個比例是相當高的，而剩余的15人的口令也不是完全安全的，例如有的人選擇了自己名字的拼音加上日期。只有15人中的少數人選擇了比較安全的口令。

現在雖然很多系統有著較為齊全的安全防護設施，但往往因為管理員選擇了簡單的口令，使得整個網絡系統的安全性大打折扣。例如，下面幾種口令是不安全的：

與用戶名相同的口令。例如，用戶名為test，口令也是test。

常用的單詞和數字。例如，hello、12345、12345678、Password等。

與鍵盤位置相關的口令。例如，1qaz2wsx等。

以年月日作為口令。很多人都用自己的生日做口令，認為這樣的口令足夠長，而且便于記憶。其實，對于攻擊者來說，這種口令的猜解范圍是很小的。以日期20170518為例，前兩位可能選擇的值有19或20；第5位和第6位代表月份，有12個選擇；第7位和第8位代表日期，有31個選擇。因此，8位的日期最多可能有2×100×12×31= 74400種組合。

使用11位手機號碼。例如，13700108888。

以流行文化以及體育名詞作為口令。例如，starwars（星球大戰）、football等。

使用用戶名加后綴的口令相對可靠，但也不是完全安全的，尤其是常用的后綴，如123、2000等。

較為安全的口令應該不容易被發現規律，并且有足夠的長度。對長度的要求隨應用環境的不同而不同，應該使得攻擊者在某個時間段內很難破解。雖然按照上述規則生成的口令安全性很高，但不便于記憶。為了在安全和易用之間尋求一種平衡，可以采用一些變通方法，比如：

選擇一個熟悉的英文單詞，并做適當變形，如sys@tem。

依據鍵盤的位置轉換口令，如鍵盤下移一行。

通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。