文档介绍:第7章网站的安全
口令安全
Web站点的安全
DNS的安全
口令安全
口令破解过程
(1)穷举法
穷举法就是对所有可能的口令组合进行猜测,最终找到系统的口令,因此也被称为蛮力猜测。
口令长度
要猜测的口令数
所需时间
1
36
36秒
2
1296
21分
3
46656
4
1679616
5
60466176
6
2176782236
69年
7
78364164096
2484年
8
2821109907456
89456年
口令长度对破解的影响
(2)利用漏洞
(3)字典法破解
通常可以用以下一些方法来获取用户的口令。
(1)缺省的登录界面(Shell Scripts)攻击法
(2)通过网络监听非法得到用户的口令
(3)直接猜测
(4)人为的失误
(5)获取密码存放文件
(1)用于Windows NT/2000的口令破译程序
下面的工具对基于Windows NT/2000的攻击都很有用。
① L0phtcrack
② Solar Designer的John the Ripper
(2)用于UNIX上的口令破译程序
① Crack
② Crackerjack
③ Merlin
安全口令的设置
下述几点是设定较安全的口令时必须遵循的原则:
(1)口令中尽量包含字母、数字和标点符号,还可以用控制字符来增强口令的复杂性;
(2)口令的长度应至少有8个字符;
(3)口令的字符不要太常见;
(4)口令不要用自己的电话号码;
(5)口令不要用自己或家里亲人的生日;
(6)口令不要用身份证号码的一部分;
(7)口令不要用单个英文单词;
(8)口令不要用自己的名字+数字的形式;
(9)口令不要用英文单词+数字的形式。
(1)用户可以改变自己的口令
(2)网络管理员给用户指定口令
在生活中,人们为了记忆的方便可能会忆的几个口令。为了避免这种情况,系统应该采取一定的措施拒绝重复口令的使用。