上官雨寶
2
CISM-WSE
中級信息安全等級測評師
上官雨寶2
CISM-WSE
中級信息安全等級測評師
口令安全問題形成的對口令認證中的威脅有以下這些:
網絡數據流竊聽:由于認證信息要通過網絡傳遞,并且很多認證系統的口令是未經加密的明文,攻擊者很容易的通過竊聽網絡數據,分辨出某種特定系統的認證數據,并提取出用戶名和口令。
認證信息截取/重放:有些系統會將認證信息進行簡單加密后進行傳輸,如果攻擊者無法用網絡數據流竊聽方式推算出口令,將使用截取/重放方式,再進行分辨和提取。重放過程會形成重放攻擊,破壞認證的正確性。
字典攻擊:大多數用戶習慣使用有意義的單詞字符或數字作為口令,如名字、生日;某些攻擊者會使用字典中的單詞來嘗試用戶的口令。另外,口令一般是經過加密后存放在口令文件中,如果口令文件被竊取,那么就可以進行離線的字典式攻擊,這也是黑客最常用的手段之一。所以大多數系統都建議用戶在口令中加入特殊字符,以增加口令的安全性。
窮舉嘗試:也叫暴力破解,這是一種屬于字典攻擊的特殊攻擊方式,它使用字符串的全集作為字典,然后窮舉嘗試進行猜測。如果用戶的口令較短,則很容易被窮舉出來,因而很多系統都建議用戶使用較長的口令,最好采用數字、字符混合的方式并加入特殊字符。
窺探口令:攻擊者利用與被攻擊系統接近的機會,安裝監視器或親自窺探合法用戶輸入口令的過程,以得到口令。常用的方式之一是利用按鍵記錄軟件,它是一種間諜軟件,以木馬方式值入到用戶的計算機后,可以偷偷地記錄下用戶的每次按鍵動作,并按預定的計劃把收集到的信息通過電子郵件等方式發送出去。
騙取口令:攻擊者冒充合法用戶發送郵件或打電話給管理人員,以騙取用戶口令。這屬于社會工程學威脅,是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行的諸如欺騙、傷害等危害手段,取得自身利益的手法,近年來已呈迅速上升甚至濫用的趨勢。
垃圾搜索:攻擊者通過搜索被攻擊者的廢棄物,得到與被攻擊系統有關的信息。
推薦文章
