最受黑客喜歡的5種網(wǎng)絡(luò)口令

現(xiàn)在企業(yè)大部分的網(wǎng)絡(luò)設(shè)備與應(yīng)用軟件，都是依靠口令來保證其安全性的。若口令丟失的話，可想而知，會給企業(yè)的網(wǎng)絡(luò)安全帶來多大的風(fēng)險，很可能在不知不覺 中，企業(yè)網(wǎng)絡(luò)中的主機(jī)成為了黑客的肉雞，成為他們攻擊其他網(wǎng)絡(luò)的跳板;甚至企業(yè)的那些所謂機(jī)密信息也會一覽無余的顯示在攻擊者面前，成為他們非法牟利的工 具，等等。 　　所以，在企業(yè)網(wǎng)絡(luò)管理中，有一項非常重要的任務(wù)，就是對口令安全的管理�？上У氖�，很多企業(yè)在這個方面管理的并不是很好。下面筆者就談?wù)勗诳诹罟芾?中，有哪些看起來很復(fù)雜的密碼但是對于黑客來說，確是很容易破解。根據(jù)密碼破解難度的不同，我這里就總結(jié)出黑客最喜歡用戶設(shè)置的五種網(wǎng)絡(luò)口令，妄大家能夠 引以為鑒。 　　一、 用戶名與口令名相同 　　筆者平時跟一些網(wǎng)絡(luò)管理的同行聊天，談到密碼設(shè)置的問題。他們跟我一樣，都發(fā)現(xiàn)用戶在這方面不夠重視，或者說，有偷懶的習(xí)慣。我們在設(shè)置用戶名的時 候，如域帳戶或者ERP系統(tǒng)的帳戶名，都會設(shè)置成“第一次登陸必須修改密碼”。但是，當(dāng)用戶在設(shè)置密碼的時候，喜歡把用戶名與口令設(shè)置成相同。確實(shí)，用戶 名與口令一致，在記憶上可能會比較容易。但是，若從安全角度考慮，其跟沒有設(shè)置密碼，沒有什么不同。 　　因為現(xiàn)在最常用的電子字典密碼破解工具，在破解密碼的時候，第一就是看密碼是否為空，第二就是查密碼是否跟用戶名一致。所以，若把用戶名與密碼設(shè)置為 一致的話，很容易被電子字典所破解。而且，即使不用電子工具，我們手工的話，按照這個規(guī)則也可以在一分鐘不到的時間里破解掉。所以，若采用用戶名與密碼一 致的口令的話，是非常危險的。 　　不過，我們可以在密碼管理策略中，限制用戶設(shè)置與用戶名相同的密碼。如在域帳戶管理策略中，我們可以限制，用戶設(shè)置的密碼不能跟用戶名相同。在一些應(yīng) 用軟件，如ERP系統(tǒng)中，我們也可以做這方面的限制，等等。也就是說，現(xiàn)在很多應(yīng)用軟件開發(fā)商與網(wǎng)絡(luò)設(shè)備廠商已經(jīng)認(rèn)識到這種口令的危害性，在他們的口令安 全中，紛紛加入了這方面的限制。如此的話，我們網(wǎng)絡(luò)管理員就可以利用強(qiáng)制的手段，限制用戶設(shè)置跟用戶名一致的口令，從而提高口令的安全性。 　　二、 使用用戶名變換得到的口令 　　有些用戶自以為聰明，既然密碼不能跟用戶相同，則對用戶名進(jìn)行簡單的變幻之后，作為密碼總可以了吧。如把用戶名顛倒順序作為密碼，或者在用戶名后面加 上個“123456”作為密碼。從技術(shù)上說，這確實(shí)是可行的。但是，這只是在欺瞞我們網(wǎng)絡(luò)管理者，而對于黑客來說，使毫無用處的。 　　我們不要把電子字典想的太簡單，認(rèn)為它不能夠識別這個小伎倆。要知道，電子字典密碼破解工具中，融入了用戶很多常規(guī)的密碼設(shè)置心理。在利用電子字典密 碼破解工具的時候，若是一個八位密碼，不管是純數(shù)字還是字母結(jié)合的密碼，電子字典可以在一分之內(nèi)根據(jù)用戶名排列出所有的組合。也就是說，若我們的密碼是對 用戶名重新排序而來的，則電子字典就可以在一分鐘之內(nèi)找到正確的密碼�？梢�，若對用戶名進(jìn)行簡單重排序而得到的密碼，看起來好像很復(fù)雜，若用手工破解的 話，確實(shí)有難度;但是，若黑客利用電子字典等密碼破解工具的話，則破解起來就好像跟切豆腐一樣的容易。 　　可以毫不夸張的說，以用戶名為基礎(chǔ)進(jìn)行變換的密碼，如對用戶名進(jìn)行隨意的排序或者在用戶名后面加上幾個簡單的數(shù)字，這些單純的變換形式，只要用戶想的 到的話，一些高級的電子字典破解工具，也想的到。而且因為其運(yùn)算能力的原因，可能我們需要花個幾分鐘時間去想怎么重新組合合理，而電子字典的話，可能只需 要你一半的時間，就可以把這個密碼破解掉。 　　所以，在口令設(shè)置中，特別是一些重要網(wǎng)絡(luò)設(shè)備與應(yīng)用軟件中，不要按這種形式來設(shè)置密碼。