珠海网站建设陈玉铭,深圳做app网站的公司哪家好,烟台网站建设哪家便宜,厦门网站专业建设数据参考#xff1a;CISP官方
目录
口令安全问题口令破解攻击口令破解安全防护口令使用安全管理
一、口令安全问题
什么是口令
身份验证的机制#xff0c;俗称 “密码#xff0c;对应英文单词为 password成本较低#xff0c;得到广泛应用信息安全中的 “密码”…数据参考CISP官方
目录
口令安全问题口令破解攻击口令破解安全防护口令使用安全管理
一、口令安全问题
什么是口令
身份验证的机制俗称 “密码对应英文单词为 password成本较低得到广泛应用信息安全中的 “密码” 对单词为 cryptography指一种对信息进行变换以保护信息安全的技术 弱口令
典型弱口令
应用中最常见的安全问题用户会使用一些较方便记忆的、简单的组合作为口令
弱口令类型
简单的数字123456、666666123123等键盘上按键连续的字母qazwsx, qwerty等;常见英文单词或短语: password、 iloveyou等。 弱口令范例
近五年“最糟糕密码榜单前10名 用户相关的信息作为口令的情况也属于弱口令
例如手机号作为口令使用名字拼音、生日或纪念日的组合微博中的孩子的生日信息 如使用孩子生日作为口令
默认口令
默认口令被认为是弱口令的一种
类型
默认管理员口令应用或系统在岀厂时候对管理账号都会设置一个默认的口令使用默认口令不更改没有任何安全性可言用户默认口令系统会为每个用户账户设置默认的口令
案例高考考生填报志愿的账户初始口令身份证后六位 机制缺陷
口令不安全传输
协议缺乏安全机制明文传输数据
不安全的存储
未经加密存储口令
二、口令破解攻击
远程暴力破解
针对登录口令的攻击
利用软件反复多次模拟身份验证行为过程以猜测出登录口令的一种攻击古老但一直有效的攻击方法
防御措施
设置“安全的口令限制登录输入错误口令次数 口令字典
根据用户口令设置规则构建常用口令字典
字典中收集了用户常用密码有效提高密码破解效率
口令字典内容
弱口令社工口令泄露口令数据库 木马窃取
木马窃取口令
从输入框中获取口令通过获取击键记录获得口令
防御措施
使用安全输入控件软键盘对抗击键记录随机排列字符对抗屏幕截图重现 网络钓鱼
伪造受信任网站诱骗用户输入用户名/口令 网络嗅探
利用TCP/IP缺乏安全机制获取口令 彩虹表
密码字典
根据一定规则生成的口令列表
彩虹表
彩虹表的前身预先计算的散列链是破解资源 (时间、空间) 的平衡 账户锁定
设置账户锁定策略对输入错误达到一定次数的账户锁定
账号锁定时间账号锁定阀值重置账号锁定计数器 三、口令破解安全防护
验证码
增加随机验证码 (对抗机器识别)
变形干扰滑块图像识别......
滑块
目前安全验证信息中常用的一种方式根据鼠标操作、滑动轨迹、计算拖动速度等方式来判断是否是人为操作 短信验证码
登录时应用将一个验证码发送到该账户预留的手机号上进行验证双因素认证实体所知 (用户名/口令)、实体所有 (手机号 四、口令使用安全管理
设置“好”的口令
好的口令特点
自己容易记口令应有一定的规律并且规律方便记忆。别人不好猜规律是攻击者无法猜出或者难以想象到的
范例程序员的口令
2qrs9cs, Y7zzzmm (两情若是久长时又岂在朝朝暮暮Lyp82nIf (来一瓶82年拉菲)
“好的口令设置
记忆一段话用于设置口令
规律口令 随机设置 (根据目标系统设置)
Lxf123TXqq 陆小凤123腾讯qqLxf123ALdd 陆小凤123阿里钉钉
口令使用习惯
不要将口令写在纸上随意放置不要将口令存放在未经防护的文件中口令分级分类重要的账户口令不要与普通的账户口令相同输入口令时关注周边环境安全;定期更改口令。
