• 我的订阅
  • 科技

兴业数金风险防范:八大措施防范口令攻击

类别:科技 发布时间:2024-01-18 14:43:00 来源:江南时报网

口令攻击方式

弱口令是常见的安全漏洞,存在极大的危害。如何治理弱口令、防范口令攻击,是安全运营工作的重点领域。为了针对性采取防范措施,需要了解口令攻击手段。本文将介绍几种常见的口令攻击方式。

一、字典攻击

字典攻击通过使用预定义数据库或常见预定义口令列表中所有可能的口令来发现口令。字典攻击数据库包括经常用作口令的字符组合,如passwd、admin、123456、888888、root@123等,或者某些硬件、软件的默认口令。同时,攻击者会根据攻击结果不断补充字典数据库,如某些企业内部的常用口令。日常漏洞扫描工具中的弱口令扫描也是采用这种方法进行预防。这种攻击方法对字典内容的数量要求比较高,若字典内容不够多,有可能无法发现口令。

二、暴力攻击

暴力攻击通过尝试所有可能的字母、数字和符号组合来发现用户账号的口令。攻击者通常使用自动程序,通过编程的方式尝试所有的组合。大家在影视剧里看到某个黑客在破解账号口令,一个口令破解程序在屏幕上运行着,口令栏中每个框在自动跑着字符、字母、数字,这种就是暴力攻击。

三、彩虹表攻击

假如口令以哈希算法存储在数据库,当攻击者拖库获得口令数据表时,面对的将是一串无意义的哈希值。攻击者提前生成口令与对应哈希值的对照表,这个对照表就是彩虹表。攻击者直接根据哈希值从对照表中查询对应的口令,这就是彩虹表攻击。不过,彩虹表攻击仅对采用哈希算法的口令数据库有效。

四、嗅探攻击

攻击者可以通过网络嗅探工具,捕获通过网络发送的明文数据包,分析数据包中存在的账号、口令信息。常见的明文协议如FTP、TELNET、HTTP等,由于缺少加密措施,攻击者在网络嗅探工具中可以直接观察到用户登录时使用的账号、口令。

五、电子欺骗攻击

电子欺骗指伪装成可信任的用户或者物品,例如攻击者使用他人的凭证进入建筑物或者访问信息系统;创建钓鱼网站模拟登陆界面,当用户输入账号密码时,攻击者可以记录获取,随后发起攻击;在IP欺骗攻击中,攻击者使用虚假的IP地址替代合法的源IP地址来隐藏身份或模拟真实系统。

六、社会工程学攻击

直接询问是得到别人口令的最简单方式,这是社会工程学攻击的一种方法。社会工程学攻击是指攻击者通过欺骗方式,尝试获取他人信任的行为。攻击者通过邮件、即时通讯、电话等方式,诱骗人们透露信息,执行攻击者期望的行为。

如何防范口令攻击

如何在口令产生、存储、使用过程中避免口令泄露,防范口令攻击?针对常见口令攻击方式的防范措施。

一、安全意识教育

随着信息技术不断发展,信息系统对口令的重视程度不断提高,通过技术手段获取口令将越来越难,而通过电子欺骗、社会工程学等手段获取口令的成功率越来越高。因此,需要对所有用户进行安全意识教育,使用户认识到设置弱口令的危害性,自觉使用强口令,从源头上杜绝弱口令;引导用户提高警惕,不尝试点击陌生链接,不轻易提供口令、验证码,不随意明文保存账号口令,以避免电子欺骗攻击、社会工程学攻击。

二、修改默认口令

在一些设备、软件、应用系统部署上线时,会存在一些默认账号和口令,这些账号、口令一般都已经收录到漏洞扫描工具、黑客、渗透测试专家的口令字典中。用户应该主动清查默认账号、口令,修改账号名称和口令内容,避免直接通过字典攻击发现账号和口令。

三、使用强口令策略

通常情况下,我们认为强口令应满足以下策略:

(1)账号和口令严禁使用出厂默认的、易被猜测的字符串,如admin、root、123456、111111等。

(2)口令长度应至少8位,系统最高权限账号口令长度应至少12位。

(3)口令应包括数字、小写字母、大写字母、特殊符号4类中至少3类。

(4)口令应与用户名无相关性,口令不得包含账号的完整字符串、大小写变位或形似变换的字符串。

(5)口令设置应避免键盘排序口令。

操作系统的口令策略设置,可以设置口令长度、口令内容类型;应用系统可以通过代码实现以上的全部要求。该方法主要是防止暴力攻击,口令越长、越复杂,暴力攻击耗时越长、成本越高,口令就越安全。

四、使用账号锁定控制

操作系统、软件、应用系统可以设置账号登录失败策略,如多少分钟内输错多少次口令,对账号进行锁定。该方法主要应对字典攻击和暴力攻击。

五、使用双因子验证

在用户登录时采用双因子验证,可以有效降低口令泄露造成的危害。口令类型有三种,类型1是“我知道什么”,如口令、PIN等;类型2是“我拥有什么”,如手机验证码、智能卡、动态口令卡等;类型3是“我是谁”,即生物验证识别,如指纹、虹膜、视网膜识别等,双因子验证需要包含至少两种类型的口令。需要指出的是,使用口令加图形验证码,并不是双因子验证。口令和图形验证码都属于第一种类型口令,即“我知道什么”。在实际应用中,简单的图形验证码是可以被机器学习自动识别的。

六、使用安全的算法

在部分信息系统中,通常将口令以MD5哈希计算后进行储存。2004年,MD5算法被证实无法防止碰撞,如生日攻击,因此不适用于安全性认证。在互联网上已经存在大量的彩虹表库,若系统数据库被拖库,攻击者通过彩虹表对比,即可发现口令内容。建议信息系统改用安全的算法。

七、使用加盐技术

加密盐是在对口令进行哈希计算前,将随机值添加到口令的最后面,将盐与其哈希值一同存储在口令文件中。当认证系统要将用户提供的口令与口令文件进行比对时,需要检索盐并将其添加到口令中,再进行哈希计算得到哈希值与口令文件比对。相同的密码因不同的随机值产生不同的哈希值,即便口令数据表泄露,攻击者通过彩虹表匹配到明文口令,也无法获取正确的口令。该方法主要应对彩虹表攻击。

八、加密传输过程

在传输账号、口令时应进行加密,避免以明文方式进行传输。在实际应用中,可以使用SSH替换TELNET,使用HTTPS协议替换HTTP协议,以应对攻击者进行抓包嗅探。

以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。

快照生成时间:2024-01-18 18:45:24

本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。

信息原文地址:

怎样设置密码才安全?千万别用这种组合!自查→
...站注册账号、设置密码的情况如果使用生日、电话等“弱口令”密码不仅极易被猜中或破解还有可能遭到境外黑客攻击如何设置一个安全的登录密码?这些知识快掌握↓↓内部数据现身境外论坛?警
2024-08-27 20:09:00
...法分子可以通过中间人攻击,截取用户的银行账户信息和口令。防护建议:日常应避免使用公共Wi-Fi进行敏感操作,如网购等。如果必须使用公共Wi-Fi,则尽量不传输敏感信息,特别是
2024-11-10 08:47:00
武汉市地震监测中心遭境外网络攻击,幕后黑手是谁?专家解析
...过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务
2023-07-27 21:59:00
《卧龙:苍天陨落》新手如何度过游戏初期
...稳定价格优惠可随时暂停永久有效注册最高可得2222小时口令兑换:zz99,免费白嫖66小时超多时长兑换流程介绍;点击在上角设置按钮,找到【兑换口令】,输入口令zz99,点击兑
2023-03-16 10:42:00
独家|从西北工业大学被攻击说起,谈网络安全的最后一道防线—密码
...据TAO组织通过窃取的西工大技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,顺藤摸瓜,非法攻击上游的中国关键信息基础设施,构建了对运营商核心数据网络远程访
2022-12-20 11:00
...征三种验证方法。信息秘密如静态密码、共享秘钥、动态口令等,根据已知的信息来证明你的身份(whatyouknow),设置某些信息只有某些人知道。如密码锁,可通过输入密码来确认这
2023-01-15 22:14:00
apex17赛季新活动新模式新武器
...稳定价格优惠可随时暂停永久有效注册最高可得2222小时口令兑换:zz99,免费白嫖66小时超多时长兑换流程介绍;点击在上角设置按钮
2023-03-18 18:31:00
重庆綦江区:“古剑山”第一届全国大学生网络攻防大赛主旨论坛举行
...出具备长期发展潜力的人才。复旦大学副教授曾剑平在《口令安全攻防中的人工智能技术及发展》报告中提出,口令作为保护个人和组织信息安全的第一道防线,在数字时代具有特别重要的作用,但
2024-03-09 19:50:00
揭开网络对抗的“神秘面纱”
...密码库猜解1万个密码,只要有百分之一是容易破解的弱口令,就能得到100个系统的访问权;发1亿封“钓鱼”邮件,只要有万分之一的收件人点开链接,就能侵入1万个系统;用勒索病毒“锁
2024-04-27 05:19:00
更多关于科技的资讯: