口令亦称密码,是一个老生常谈的话题了。尽管在账户和权限控制系统中,可能技术控更喜欢诸如生物特称指纹识别、动态口令等多因子身份验证,但是口令仍然在广泛使用,您有没有问过您所使用的口令安全吗?黑客如何能破解人们的口令?人们该如何加强口令防范能力?我们请到一名从事信息安全工作10多年的“老司机”给您介绍一下这方面的情况。
一、人们使用的口令安全吗?
随着国家对信息安全的重视程度不断提高,空口令、“1234”、“123456”之类的弱口令正在从我们身边大幅度减少,但口令设置方面依然存在很多安全隐患:
- 工作系统口令通常包括单位、部门或应用系统的名称、电话号码、所在房间号等信息;
- 个人系统口令通常包括生日、结婚纪念日等重要日期、本人或家人姓名拼音或其缩写等;
- 相当一部分口令明显的利用了键盘顺序,如:qwerty、1q2w3e、1qaz2wsx等;
- 同一个口令可以登录多个系统的现象比较普遍,而且口令长期不变。
二、黑客是如何破解人们的口令的?
黑客破解口令的方式大致有如下几种方式:
1.暴力破解。 暴力破解口令是历史上常见的一种口令攻击方式,黑客利用一个海量口令字典,穷举用户口令。随着人们安全意识的增强,登录认证系统通常限制失败登录次数,目前这种攻击方式已显著减少。
2.网络嗅探。 网络嗅探口令方式通常利用某台主机进行网络监听,抓取网络数据来分析口令。目前口令等敏感信息多进行加密处理,所以这种攻击方式也受到了一定限制。但是对占比很高的Web应用来讲,黑客会嗅探未加密的HTTP通信,以获取网站的Cookie,进而不使用口令也能盗用身份。
3.利用系统漏洞破解。 利用系统漏洞破解口令的方式主要有三种形式:一种是利用系统存在的高危漏洞,直接侵入系统,破解口令文件;一种是利用系统漏洞运行木马程序,记录键盘输入以获取口令;还有一种是利用登录界面找回口令环节的程序设计缺陷,修改用户口令,登入系统。
4.社会工程学破解。黑客社会工程学破解口令是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗、伤害等,以获取得用户口令。如冒充邮件管理员发送邮箱升级信息,把你引到钓鱼网站,盗取邮箱口令。现在这种攻击方式也比较普遍,国内某知名网络安全公司就曾遭到这种攻击,大量员工的口令被盗。
5.高级持续威胁破解。 长期搜集攻击目标的各种信息,进而利用其中的口令设置的安全隐患,形成有针对性的口令表,仅仅通过几次手工登录尝试,就能成功登录系统,这就属于近几年较为流行的“高级持续威胁”攻击。这种攻击方式相当隐蔽,很多安全设备无法识别,更需要我们引起足够的重视!新华社就曾报道过某边境城市办公室使用电话号码作为邮箱口令,遭到境外间谍机关破解的案例。
三、人们该如何加强口令防御能力呢?
如下,昆明亭长朗然科技有限公司网络安全意识宣教专员董志军向您提供一些口令安全方面的安全建议,希望能有助于提高您的信息安全防御能力:
- 定期更改口令,新口令与历史口令不要有明显的规律,不设置通用口令;
- 口令设置不要与个人及所在单位有明显的关系,注意个人及单位信息的保密;
- 采用多因素认证方式,可以减少单一口令失效可能造成的身份失窃机率;
- 定期对信息系统进行安全评估、安全渗透测试,以便及时发现口令安全隐患;
- 加大信息安全宣传力度,做到“知己知彼”,从攻击者角度考虑和实施口令安全防御方面的强化措施。
四、关于口令安全的补充(广而告知)
为了帮助各类型的组织机构指导员工的口令安全,通过帮助保护人们的账户免于盗用,进而帮助保护组织机构的重要信息资产,昆明亭长朗然科技有限公司制作了大量的口令安全与身份保护指南,希望对您有所帮助。此外,我们还有更多可以用于针对商业环境中的用户安全意识培养的教程内容和素材资源。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。
- 电话:0871-67122372
- 微信:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898
