兴业数金风险防范：八大措施防范口令攻击

口令攻击方式

弱口令是常见的安全漏洞，存在极大的危害。如何治理弱口令、防范口令攻击，是安全运营工作的重点领域。为了针对性采取防范措施，需要了解口令攻击手段。本文将介绍几种常见的口令攻击方式。

一、字典攻击

字典攻击通过使用预定义数据库或常见预定义口令列表中所有可能的口令来发现口令。字典攻击数据库包括经常用作口令的字符组合，如passwd、admin、123456、888888、root@123等，或者某些硬件、软件的默认口令。同时，攻击者会根据攻击结果不断补充字典数据库，如某些企业内部的常用口令。日常漏洞扫描工具中的弱口令扫描也是采用这种方法进行预防。这种攻击方法对字典内容的数量要求比较高，若字典内容不够多，有可能无法发现口令。

二、暴力攻击

暴力攻击通过尝试所有可能的字母、数字和符号组合来发现用户账号的口令。攻击者通常使用自动程序，通过编程的方式尝试所有的组合。大家在影视剧里看到某个黑客在破解账号口令，一个口令破解程序在屏幕上运行着，口令栏中每个框在自动跑着字符、字母、数字，这种就是暴力攻击。

三、彩虹表攻击

假如口令以哈希算法存储在数据库，当攻击者拖库获得口令数据表时，面对的将是一串无意义的哈希值。攻击者提前生成口令与对应哈希值的对照表，这个对照表就是彩虹表。攻击者直接根据哈希值从对照表中查询对应的口令，这就是彩虹表攻击。不过，彩虹表攻击仅对采用哈希算法的口令数据库有效。

四、嗅探攻击

攻击者可以通过网络嗅探工具，捕获通过网络发送的明文数据包，分析数据包中存在的账号、口令信息。常见的明文协议如FTP、TELNET、HTTP等，由于缺少加密措施，攻击者在网络嗅探工具中可以直接观察到用户登录时使用的账号、口令。

五、电子欺骗攻击

电子欺骗指伪装成可信任的用户或者物品，例如攻击者使用他人的凭证进入建筑物或者访问信息系统;创建钓鱼网站模拟登陆界面，当用户输入账号密码时，攻击者可以记录获取，随后发起攻击;在IP欺骗攻击中，攻击者使用虚假的IP地址替代合法的源IP地址来隐藏身份或模拟真实系统。

六、社会工程学攻击

直接询问是得到别人口令的最简单方式，这是社会工程学攻击的一种方法。社会工程学攻击是指攻击者通过欺骗方式，尝试获取他人信任的行为。攻击者通过邮件、即时通讯、电话等方式，诱骗人们透露信息，执行攻击者期望的行为。

如何防范口令攻击

如何在口令产生、存储、使用过程中避免口令泄露，防范口令攻击?针对常见口令攻击方式的防范措施。

一、安全意识教育

随着信息技术不断发展，信息系统对口令的重视程度不断提高，通过技术手段获取口令将越来越难，而通过电子欺骗、社会工程学等手段获取口令的成功率越来越高。因此，需要对所有用户进行安全意识教育，使用户认识到设置弱口令的危害性，自觉使用强口令，从源头上杜绝弱口令;引导用户提高警惕，不尝试点击陌生链接，不轻易提供口令、验证码，不随意明文保存账号口令，以避免电子欺骗攻击、社会工程学攻击。

二、修改默认口令

在一些设备、软件、应用系统部署上线时，会存在一些默认账号和口令，这些账号、口令一般都已经收录到漏洞扫描工具、黑客、渗透测试专家的口令字典中。用户应该主动清查默认账号、口令，修改账号名称和口令内容，避免直接通过字典攻击发现账号和口令。

三、使用强口令策略

通常情况下，我们认为强口令应满足以下策略：

(1)账号和口令严禁使用出厂默认的、易被猜测的字符串，如admin、root、123456、111111等。

(2)口令长度应至少8位，系统最高权限账号口令长度应至少12位。

(3)口令应包括数字、小写字母、大写字母、特殊符号4类中至少3类。

(4)口令应与用户名无相关性，口令不得包含账号的完整字符串、大小写变位或形似变换的字符串。

(5)口令设置应避免键盘排序口令。

操作系统的口令策略设置，可以设置口令长度、口令内容类型;应用系统可以通过代码实现以上的全部要求。该方法主要是防止暴力攻击，口令越长、越复杂，暴力攻击耗时越长、成本越高，口令就越安全。

四、使用账号锁定控制

操作系统、软件、应用系统可以设置账号登录失败策略，如多少分钟内输错多少次口令，对账号进行锁定。该方法主要应对字典攻击和暴力攻击。

五、使用双因子验证

在用户登录时采用双因子验证，可以有效降低口令泄露造成的危害。口令类型有三种，类型1是“我知道什么”，如口令、PIN等;类型2是“我拥有什么”，如手机验证码、智能卡、动态口令卡等;类型3是“我是谁”，即生物验证识别，如指纹、虹膜、视网膜识别等，双因子验证需要包含至少两种类型的口令。需要指出的是，使用口令加图形验证码，并不是双因子验证。口令和图形验证码都属于第一种类型口令，即“我知道什么”。在实际应用中，简单的图形验证码是可以被机器学习自动识别的。

六、使用安全的算法

在部分信息系统中，通常将口令以MD5哈希计算后进行储存。2004年，MD5算法被证实无法防止碰撞，如生日攻击，因此不适用于安全性认证。在互联网上已经存在大量的彩虹表库，若系统数据库被拖库，攻击者通过彩虹表对比，即可发现口令内容。建议信息系统改用安全的算法。

七、使用加盐技术

加密盐是在对口令进行哈希计算前，将随机值添加到口令的最后面，将盐与其哈希值一同存储在口令文件中。当认证系统要将用户提供的口令与口令文件进行比对时，需要检索盐并将其添加到口令中，再进行哈希计算得到哈希值与口令文件比对。相同的密码因不同的随机值产生不同的哈希值，即便口令数据表泄露，攻击者通过彩虹表匹配到明文口令，也无法获取正确的口令。该方法主要应对彩虹表攻击。

八、加密传输过程

在传输账号、口令时应进行加密，避免以明文方式进行传输。在实际应用中，可以使用SSH替换TELNET，使用HTTPS协议替换HTTP协议，以应对攻击者进行抓包嗅探。