扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:赛迪网 来源:赛迪网 2007年10月6日
关键字:
在本页阅读全文(共3页)
加密:用暗语说话
给密码加密是保护密码的方法之一,加密后,黑客无法直接解读它。加密的方法有很多种,都有一定的安全保护功效。比如:
·Windows LAN Manager以及NT LAN Manager 哈希表(LM和NTLM):NTLM是微软的一种认证协议,它使用challenge-response序列要求客户端与服务器端发送3种信息。
·NTLM v2:NTLM的升级版,解决了NTLM实现起来会出现的弱点。
·Kerberos:一种网络认证协议,允许人们通过不安全的网络互相通信,从而用安全的方式互相证明身份。
以上每种方法都只对密码应用了单向加密算法,建立加密的哈希表。简单说来,算法就是一种非常复杂的数学算式,系统用它来给创建加密后的密码(密码哈希表)。一般人们认为,我们是无法用数学的方法对加密的哈希表进行逆运算来获得原始密码的,因此它被看作是一种单向的过程。黑客们仍然可以截获该加密的哈希表,但是他们无法使用加密形式的密码。
一般密码是储存在本地系统数据库中的。只有这样做,当用户希望访问系统的时候,系统才能够验证用户的权限。这些密码通常都是用前面讨论过的加密哈希表加密的。不幸的是,对那些想要访问你的信息系统的人来说,该数据库就相当于打开系统之门的金钥匙。
很多操作系统都将密码保存在一些众所周知的标准路径中。Unix操作系统将密码存储在\etc\passwd中,而Windows则将密码存储在本地安全帐户管理(SAM)数据库中。如果攻击者能够获得此类文件,那么为了获得(或者破解)密码,他们很容易就可以攻击这些信息的高速缓存。
用词库或者穷举方式攻击
密码攻击的形式多种多样,最简单的大概就是猜密码了吧。通常使用这种方法的话,攻击者会努力猜出密码,然后手动登陆进计算机系统。很多人为了方便记忆,使用很简单的密码——这就使其他人也很容易猜出这个密码。
人们还经常忘了修改默认系统或者帐户的密码。使用Google大概搜索就可以获得一大堆各种系统的默认密码。人工猜密码非常慢并且很枯燥,并且很多系统会在你尝试失败一定次数后锁定,这使情况变得更复杂。
那么自动猜密码如何?请看如下2个常用的自动猜密码的方法:
|
词库式攻击使用常用词语和名字的词库作为猜密码的参考。那么那些选容易记的简单密码的人,他们可能选择常用词语、名字、地方等等做密码。词库攻击就是利用这些常用词语来进行攻击的,这些词库下载下来就能用。
穷举攻击要相对复杂一些,它执行起来时间相对长一些。简单说起来,穷举攻击会尝试所有的字母组合,直到找到正确的密码。这些组合的综合被称为密钥空间。为了算出这种所有组合的数量,我们把可用字符的数量记为y,把密码长度记为x,那么所有可能的组合的数量就是y的x次方。例如,让我们来算算只用大写字母来创建8位的密码这种情况下,可能的组合的数量是多少。如下的例子就计算了26的8次方是多少:
|
那么,如果我们把可选字符的范围扩大到标准键盘上的所有字符呢?那么一共就有96个字符:
|
随着可用字符的增多,可能的字母组合的数量也按几何级数的规律增长。这就意味着破解这些密码所需要的计算时间也成比例地增长了。NIST特刊800-63出色地讨论了密码安全性以及密码属性(长度和可用字符)对其的影响。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。