除了使用木马,
黑客要完全控制一个
系统往往要首先取得系统管理员的密码。密码
安全实属老生常谈的话题。但国人的安全意识特别是密码安全意识却实在令人担心!所以不得不再提笔在此探讨密码安全问题。
文起笔者某天闲来无事,突发奇想随机对自己所在网段进行一次安全检测。挂起安全检测
工具X-scan(在黑客手里就是黑客工具。嘿嘿。^_^)进行了一次简单的NT-Server弱口令
扫描。
二十多分钟过去了,检测完毕,所得的结果令人大吃一惊!见下图:
共检测了254X255个IP。把结果筛选了一遍然后粗略统计了一下,大概有三百多台机有NT弱口令!这种状况实在令人担忧!但更加令笔者感到吃惊的是这次扫描使用的仅仅是x-scan2.3本身自带的最简单的密码
字典!完全没有把
字典深化广化。这个黑客字典真的这么“神奇”,能把这么多人的密码都破解了?让我们来看看它的真面目吧:
有必要作些简单
解析,字典里的%username%表示密码和用户名一样,%null%表示无密码。%username%123表示密码为用户名后加123,如用户名为user,即密码为user123。怎么样?你的密码是否早已经在黑客的掌握之中?吃惊吗?这可是一般的黑客破解工具都具备的最简单的字典啊!笔者粗略看了一下扫描检测结果,出现频率最多的弱口令是空密码,其次是123456这个密码以及密码与用户名相同。如此简单的密码字典都能找出众多的受害者!醒醒啊!
话至此,你的密码安全意识打上补丁了吧?下面我们还是谈谈最重要的部分――怎样设置一个强壮的密码吧。
黑客们公认的最难破解的密码是包含大小写字母、数字和符号并且没有任何明显规律可循的7位数的密码。如类似“ [hB5r0n ”这样的密码。笔者在本机上用目前最强大的Windows系统密码暴力工具LC4测了一下它的强度。过程如下:
1、(见上图)先把系统管理员的密码改为 [hB5r0n,其他用户密码设为空。
2、(见上图)设置密码暴力破解工具LC4的破解模式为暴力破解并使用
键盘所有数字字母和符号。
3、(见上图)得出的结果是要成功破解“ [hB5r0n ”这个密码约需要3个月!!!
这可只是本地破解喔。如果通过网络进行远程破解由于受网速的影响需要更长的
时间。呵呵……。哪个黑客有耐心就让他破去吧。:)
另外,从密码位数考虑七位数的密码是最安全的。这涉及到某些较高级的密码暴力破解工具的工作原理。但通俗点我们可以这样解析:当某些
智能较高的密码暴力破解工具破解多于七位数的密码时,它们会把前面七位当一个密码段来破解,后面的少于七位的话再当一个密码段来破,多于七位又按每七位一段拆分。其恐怖之处在于,当它破出某一段后就会根据破解出的部分按照密码间的某些联系去推算未破解出的部分,从而大大加快了破解进程!也就是说多于七位的密码部分只是间接给它们快速破解整个密码提供线索!嘿嘿! 可别以为密码越长越安全喔。^_^
当然,你可能会说你只是普通用户,方便起见,根本不需要这么高强度的密码。那么做好密码安全你至少应该遵循以下原则:
总则:尽量让别人难以猜到!
1、不要使用有规律的密码,如类似上面x-scan的字典中的123456等。
2、不要使用自己姓名的
拼音或常见的英文名作为密码。因为有些黑客字典是专破以姓名拼音以及常见的英文名为密码的。
3、不要使用自己的生日来做密码。黑客字典中生日字典更常见。
4、不要使用有意义的英文
单词。
5、不要使用对称性密码。如 !dfe! ,对于某些密码暴力破解工具这等于你的密码是3位数!
6、密码位数最好是七位,最短不应少于六位。
7、使用符号字符时尽量使用键盘布局内部的符号,如( ) - + | [ ]{ }’ : 等。少用像!@#$%^&等外围符号。善用空格键这个特殊字符!
8、不定期更改你的密码。上面LC4破解的例子给我们一个启示:只要有足够的时间,无论多高强度的密码最终都可被破解! 所以,不定期更改你的密码很有必要。一般来说密码寿命最好不超过一个月。
做到以上几点,你的密码就算较安全的了。此外还有容易令人忽略的一点就是Windows2000或以上的MS Windows操作系统在安装时会要求设置Administrator的密码。最好安装时就给它设定一个好密码。笔者以上检测到的NT弱口令中很多都是Administrator为空!这一点须高度重视!
密码安全绝对不是技术问题,而是意识问题!希望广大网友们能提高自己的密码安全意识,再适当运用一些设置密码技巧,相信大部分黑客都能被你拒之门外! ^_^