简单谈谈口令的破解手法与防范之道

口令亦称密码,是一个老生常谈的话题了。尽管在账户和权限控制系统中,可能技术控更喜欢诸如生物特称指纹识别、动态口令等多因子身份验证,但是口令仍然在广泛使用,您有没有问过您所使用的口令安全吗?黑客如何能破解人们的口令?人们该如何加强口令防范能力?我们请到一名从事信息安全工作10多年的“老司机”给您介绍一下这方面的情况。

一、人们使用的口令安全吗?

随着国家对信息安全的重视程度不断提高,空口令、“1234”、“123456”之类的弱口令正在从我们身边大幅度减少,但口令设置方面依然存在很多安全隐患:

  • 工作系统口令通常包括单位、部门或应用系统的名称、电话号码、所在房间号等信息;
  • 个人系统口令通常包括生日、结婚纪念日等重要日期、本人或家人姓名拼音或其缩写等;
  • 相当一部分口令明显的利用了键盘顺序,如:qwerty、1q2w3e、1qaz2wsx等;
  • 同一个口令可以登录多个系统的现象比较普遍,而且口令长期不变。

二、黑客是如何破解人们的口令的?

黑客破解口令的方式大致有如下几种方式:

1.暴力破解。 暴力破解口令是历史上常见的一种口令攻击方式,黑客利用一个海量口令字典,穷举用户口令。随着人们安全意识的增强,登录认证系统通常限制失败登录次数,目前这种攻击方式已显著减少。

2.网络嗅探。 网络嗅探口令方式通常利用某台主机进行网络监听,抓取网络数据来分析口令。目前口令等敏感信息多进行加密处理,所以这种攻击方式也受到了一定限制。但是对占比很高的Web应用来讲,黑客会嗅探未加密的HTTP通信,以获取网站的Cookie,进而不使用口令也能盗用身份。

3.利用系统漏洞破解。 利用系统漏洞破解口令的方式主要有三种形式:一种是利用系统存在的高危漏洞,直接侵入系统,破解口令文件;一种是利用系统漏洞运行木马程序,记录键盘输入以获取口令;还有一种是利用登录界面找回口令环节的程序设计缺陷,修改用户口令,登入系统。

4.社会工程学破解。黑客社会工程学破解口令是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗、伤害等,以获取得用户口令。如冒充邮件管理员发送邮箱升级信息,把你引到钓鱼网站,盗取邮箱口令。现在这种攻击方式也比较普遍,国内某知名网络安全公司就曾遭到这种攻击,大量员工的口令被盗。

5.高级持续威胁破解。 长期搜集攻击目标的各种信息,进而利用其中的口令设置的安全隐患,形成有针对性的口令表,仅仅通过几次手工登录尝试,就能成功登录系统,这就属于近几年较为流行的“高级持续威胁”攻击。这种攻击方式相当隐蔽,很多安全设备无法识别,更需要我们引起足够的重视!新华社就曾报道过某边境城市办公室使用电话号码作为邮箱口令,遭到境外间谍机关破解的案例。

三、人们该如何加强口令防御能力呢?

如下,昆明亭长朗然科技有限公司网络安全意识宣教专员董志军向您提供一些口令安全方面的安全建议,希望能有助于提高您的信息安全防御能力:

  1. 定期更改口令,新口令与历史口令不要有明显的规律,不设置通用口令;
  2. 口令设置不要与个人及所在单位有明显的关系,注意个人及单位信息的保密;
  3. 采用多因素认证方式,可以减少单一口令失效可能造成的身份失窃机率;
  4. 定期对信息系统进行安全评估、安全渗透测试,以便及时发现口令安全隐患;
  5. 加大信息安全宣传力度,做到“知己知彼”,从攻击者角度考虑和实施口令安全防御方面的强化措施。

四、关于口令安全的补充(广而告知)

为了帮助各类型的组织机构指导员工的口令安全,通过帮助保护人们的账户免于盗用,进而帮助保护组织机构的重要信息资产,昆明亭长朗然科技有限公司制作了大量的口令安全与身份保护指南,希望对您有所帮助。此外,我们还有更多可以用于针对商业环境中的用户安全意识培养的教程内容和素材资源。如果您有这方面的兴趣或需求,请联系我们洽谈业务合作。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

防范一般黑客只需简单几招

hacker-defender

对个人用户而言,除非成为黑客坚定的目标,那样简直就会无法逃脱。但是多数人们并不会获得如此殊荣,也不会受到黑客特别的钟情,所以面临的也只是常见的安全威胁,拜蓬勃的信息技术产业和政策对信息安全的支持,应对如病毒等常见的安全威胁,有大量成熟的、创新的解决方案。

然而,如果人们没能了解基础的安全防范知识,强大的技术解决方案显然不够完美,而总显得滞后。下面几招则是由昆明亭长朗然科技有限公司的计算机安全专员Bob Xue向您分享的信息安全普世真理,相信大多数资深用户都已经再熟悉不过,新人可能还有些陌生,不管怎样,熟悉一下总没错!

安装杀毒软件。杀毒软件可将已知恶意程序拒之门外,也可防范黑客窃取个人信息。网络罪犯每天发布数千个新程序,平均每秒都有多个新的安全威胁出现,因此及时更新杀毒软件十分重要,定期进行检查并确认杀毒软件正常启用也是很有必要的。

安装软件补丁。多数的安全攻击在技术上利用了软件的漏洞,而微软、谷歌、苹果和奥多比等公司均不断发布小的的更新程序以修补Windows操作系统、应用软件如:浏览器和Flash程序中新发现的安全漏洞,用户应当及时安装这些补丁,让新的安全威胁无法利用这些弱点。

保持戒心。除非确保安全无毒,否则一律将电子邮件附件、社交网站链接和网站上的可下载文件视同病毒处理。这些是罪犯将恶意软件传送到受害者计算机的最常用伎俩。

使用安全密码。使用包含数字、字母和符号的混合密码;不要以常用单词或个人信息作为密码;不要在多个站点使用同一密码;手机也要设置密码。

在公共场合保持警惕。用公共计算机登录Gmail、腾讯(Tencent)QQ或Hotmail邮箱后应登出,清空浏览器缓存、cookie和历史,然后关闭浏览器,尽量不要在公共场合使用线上交易。

接触敏感信息的人士需特别小心。他们很可能成为黑客的攻击目标。攻击手段包括伪装成受害者认识的人,通过电子邮件向其发送恶意软件。重要文件加密是有效的保护措施之一。公司用户还应当配备能够跟踪敏感信息发送路径的系统。

或许您觉得这些已经是些“小儿科”,您可能想成为一名共和国的虚拟信息安全战士,那就先参加一下我们的信息安全意识挑战赛吧!挑战成功者可以优先入伍哦!请联系我们进行在线体验及洽谈合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898