密码安全意识

揭秘密码破解技术探讨防范对策

admin

通过对密码进行破解,网络犯罪分子可以获得对他人账户的访问权限,进而冒充或盗用他人的身份,进而窃取敏感甚至机密信息,或为自己谋取钱财利益。当然,这种行为是非授权的、不法的。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:有许多技术可用于破解密码,接下来,我们将简单快速地分享一些最常用的方法。

  • 字典攻击法。此方法使用单词表即字典中的词汇,与用户密码进行比较。如果用户使用某些英文词汇,则很容易被此法破解。
  • 蛮力攻击法。此方法类似于字典攻击。蛮力攻击使用结合字母、数字和符号的算法来提供攻击密码。例如,蛮力攻击可以将值“password”的密码尝试为p@$$word。对于一些简单的甚至英文词汇的变形,蛮力攻击亦可在一定的时间内成功破解。
  • 彩虹表匹配法。此方法使用预先生成的哈希值。假设应用传输的密码是md5散列而非明文,或者数据库将密码存储为md5散列,不法攻击者可以创建另一个具有md5哈希值的常用密码数据库。然后,将拥有的密码哈希与数据库中存储的哈希进行比较。如果找到匹配项,则取得了原有的明文密码。如果黑客入侵了包含用户密码md5数据库的后台系统,则可以利用此法,“解密”出明文密码。
  • 猜测法。顾名思义,此方法使用猜测之术。通常使用qwerty、iloveyou、football、admin、654321等密码,或者已知的初始密码或默认密码。如果用户未更改它们,或者在选择密码时不小心而使用了过于常用的密码,则很容易遭到破解。
  • 爬网搜集法。大多数职场人员使用包含单位信息的密码。那些信息可以通过单位网站、社交媒体获得。不法分子可以利用从这些来源收集信息构建单词列表,然后用于执行字典攻击和蛮力攻击。比如可以搜集如下信息以构建词汇列表:
    18206751343 <创办人电话>
    67122372 <公司电话>
    james dong <创始人姓名>
    securemymind <公司名称或缩写>
    securityfrontline <公司产品、服务的缩写>
    golf <创始人的爱好>

了解了攻击者的手法,接下来,我们探讨一些防范密码破解的对策。组织可以使用以下方法来减少破解密码的机会:

  • 避免使用简短易猜的密码。
  • 避免使用具有可预测模式的密码,例如18206751343。
  • 存储在数据库中的密码必须始终加密。对于md5加密,最好先SALT加盐,即在提供的密码中添加一些随机变量字符,然后再存储md5密码散列。
  • 在用户注册系统中加入密码强度指示器,以强制采用高密码强度密码策略。
  • 使用密码替代、辅助和附加身份认证方案,可以加入动态口令、生物识别、多重验证等等要素,以保护账户访问权限不被盗用。

总之,密码破解是一种恢复存储或传输的密码的技术。常见的密码技术包括字典攻击法、蛮力破解法、彩虹表匹配法、爬虫破解法等等。随着计算能力的提升,自动化的密码破解工具简化了密码破解过程。要防范密码破解,需要提升密码的强度,密码强度取决于密码的长度、复杂性和不可预测性。

为了帮助各类型的组织机构通过提升包括密码安全在内的全员安全技能及认知,进而帮助保护组织机构的重要信息资产,昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。有些来自互联网的威胁,如病毒和蠕虫、脚本黑客及公开泄露的密码库,对于所有联网用户都是共同需要面对的。有些威胁,比如恶意的竞争者、商业间谍和国家支持的黑客,对于不同行业、不同规模、不同地位的组织机构,则有其独特的需要面对的安全风险。我们通过互动内容和切合实际的培训场景来优化交互式安全课程,以同时满足共通的和特定的需求。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。

电话:0871-67122372
微信、手机:18206751343
邮件:info@securemymind.com
QQ: 1767022898

研究称密码需强健

admin

password-security-survey
最新一项由昆明亭长朗然科技有限公司市场调研部发起的互联网安全研究表明:四分之三的中国人并未像被期待的那样修改他们的在线帐户密码。互联网应用系统使用账户来区分使用者的身份,平均每位国民有10个受密码保护的互联网帐户,但仅有半数国民为个人电脑设置了访问密码。

中国国务院发布了“宽带中国”战略实施方案,提升带宽、降低资费的活动将一直延续下去,我们有理由相信,人们的互联网帐户会越来越多,密码安全问题将直接关乎个人电脑安全以及互联网安全。试想:终端带宽越来越宽,但如果终端安全未得以有效实施,被黑客遥控的僵尸“肉鸡”也会越来越多,黑客便很容易利用它们发起分布式拒绝服务攻击DDoS。

调查同时表明:只有三分之一的手机用户对移动设备设置了访问密码或相关“所知信息”替代品。在移动计算时代,这显然是很不够的,特别对于移动办公用户,密码是保障工作计算设备及信息安全的第一道防线,如果终端设备密码都没有,还谈什么更多的信息安全呢?

同时调查还发现了一些密码特征,不少人喜欢用工作或生活相关的信息来当作密码,使用手机号码、公司名称、孩子或配偶的名字或生日的一部分用来做密码的占了有54%,这实在是令人吃惊!密码这么脆弱,不会被黑客暴力猜解便是被社会工程学攻击者恶意搜集和利用。

而关于对密码的保护,随意张贴的并不多见,分析原因是密码比较简单易记,所以没必要张贴。但是调查发现分享密码是常事,家庭成员之间、工作同事之间的密码分享已经成为常态,似乎人们并不认为密码分享有什么不对,甚至还找出诸如“为了更好地协同工作”之类的理由。当然,分享密码必定有一些理由,但是人们未考虑可能带来的安全问题和事故责任问题,这些做法让IT管理的规范化变得异常艰难。

密码的安全问题并不仅仅是最终用户的问题,IT安全部门对这的理解也需要改变,如何能让人们理解密码安全的重要性呢?如何能让人们设置复杂、强健且容易记忆的密码呢?如何能让人们不同他人分享密码呢?这是一项系统工程,并不是简单设置帐户和密码安全策略便可轻易有效解决的。昆明亭长朗然科技有限公司认为,技术控管层面的变更很容易实现,但是要让用户真心理解和接受,最重要的是强化密码安全意识沟通工作。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898