文档介绍：保
护密码
由于网络的不断普及、和国际网络的迅猛发展﹐网络安全变得越来越重要了。而保护网络的第一道防线就是用户帐户和密码的。不过道高一尺﹐魔高一丈﹐许多网络攻击者都能借助简单的工具就可以破解用户密码了。
密码的储存方法
在 Linux 系统里面﹐所有的用户名称和密码都存储在/etc/passwd 这个档案里面﹐不过密码部份则是经过加密(encryption)处理的﹐所以﹐即使你打开了这个档案﹐也不能够直接看到原来的密码的。我们称样的保密方法为“编码(enconde)”﹕当用户输入密码之后﹐系统挑选一个随机产生的变化数值(salt),连同用户输入的文字作编码处理而转换成其它文字﹐而这个 salt 也随着转变后的文字一起存储起来。
所以当您从密码档案看到的字符﹐已经不是原来的密码了。如果用户重新登录系统﹐其所输入的密码会再被使用相同的方法转码﹐看看其结果是否和存放在密码文件的编码一致﹐如果一致﹐则可以通过﹔否则不予放行。
由于用作密码加密的算法是一种单向的哈希算法,是不可逆解的:它只能针对输入内容产生哈希结果,若输入内容一致,那结果就一致。不同的输入透过该算法所产生的结果是不可能一致的。换而言之,要将这个转变后的字码翻译成原来的样子似乎是件不可能的任务。
破解密码的方法之一
若您有机会访问过有入侵系统经验的黑客,或看过他们的心的分享,您或许会讶异:原来许多密码都是靠猜得来的!将账号名称照打一遍、或倒过来打,或用使用者的姓名或生日,或是对方的配偶、小孩、宠物名称,或是用 password、god、123456、abcdefg、2002、qwerty、等等来 try try 看... 居然有很大机会获得对方的密码呢~~~
破解密码的方法之二
此外,一般的黑客都知道﹕大部份使用者喜欢使用现成的字词来做密码﹐因为他们实在怕忘记了密码之后找网络管理员时候所看到的黑脸。黑客们就可以使用收集有各种常用字的字典﹐然后逐个的进行 salt 采样﹐再用同样的算法来作哈希处理,最后一一对照密码档案上面的编码﹐从而猜到原来的密码。当然﹐他们不会笨到用手工来计算和比较啦﹐黑客们通常不是程序高手也会利用别人写的程序来完成这个工作的。这个就是著名的“字典破解法”了。
破解密码的方法之三
假如用户避免了字典所能找到的词(或变种)来作密码呢?那黑客们难道就没法破解了吗?非也,破解者大可用程序对所有能用来作密码的字符(例如 ASCII 编码)进行所有的组合尝试,再以同样方法作 salt 采样,然后再以同样的算法来比对结果,那么,总有一天密码还是能破解的。这就是所谓的“***法”了。
破解密码的方法之四
有些人要努力的工作﹐有些人则聪明的工作。一些黑客不一定要使用到非常高深的破解技能就可以轻易的获得用户密码了。靠的是什么﹖答案是﹕“靠骗﹗”。试想一下﹕在一些大型的机构里﹐各部门之间并不是经常见面的。比如您在会计部门工作的﹐当计算机坏了﹐通常会先打个电话问 Help Desk ﹐如果能在电话里面解决﹐您根本就不知道对方的模样是怎样的﹐而且下次或许又是另外一个人了﹔就算信息组需要派人来修理﹐也未必是每次同一个人。
所以﹐假如有一天﹐当某人自称来自信息部门﹐用非常礼貌而又不显唐突的语调在电话中跟您说﹕“因为公司的网络需要重新调整﹐所有账号都需要重新设定﹐请求您把旧密码报上来﹐好作安排”诸如此类﹐我想有一半人会老实作答﹐即使有所怀疑﹐也未必到处求证。就算您马上提出质疑﹐对方大不了挂上电话而已﹐恐怕您也不会劳师动众去追查电话来源吧﹖
不如调过来吧﹕您是网络管理员。忽然接到电话﹐对方报称为某某职员﹐使用某某账号﹐昨天刚换了密码﹐不过今天忘记了﹐问说可不可以重新帮他设定密码﹖如果贵公司制度不严﹐或您工作随便﹐搞不好﹐马上大手一挥﹐霹雳吧啦一轮键盘敲击﹐就把对方打发走了。您又几何会想过对方是一个黑客呢﹖
又假如﹐某天您获得自称某 ISP 发来的 email ﹐恭喜您被选中获得终身免费账号﹐要求回报账号和密码﹐好为您转换账号类型。我想﹐您这么聪明是不会上当的啦~~~ 但您难保九十九个聪明人之外﹐还有一个大笨蛋会和盆托出哦。
你看﹖是不是很容易就获得密码了呢﹖虽然通常这样获得的密码都不具备什么权限﹐但既然通向网络之们已经打开了﹐再稍作努力点﹐获得密码档案﹐然后使用字典或***﹐再获得管理员密码﹐只不过是时间与耐性的问题而已。前面所描述的,您或许已经听过了,它叫“社交工程”。
正确的使用密码
要对付第一种破解方法很简单:避免用您身边的事物或其变种作密码就行了。我相信您的银行提款卡不是用您的生日作密码的吧? ^_^
对付第二种及第三种方法﹐可以使用 shadow password 来限制用户接触到密码档案。同时﹐您最好别使用现成的词语做密码﹐