簡介
盡管現在可以選用許多方法進行用戶身份驗證,但多數用戶仍然通過在鍵盤上結合輸入用戶名和密碼來登錄自己的計算機和遠程計算機。某些產品使用了生物統計學、智能卡和一次性密碼等更加安全的技術,而這些技術對於所有常用操作係統都可用;但實際情況是許多組織仍舊依賴於密碼,並會在未來數年內維持現狀。用戶常常擁有許多不同的計算機帳戶,分別用在工作、手機、銀行、保險公司等各個方麵。為簡化密碼的記憶任務,用戶經常在每個係統中使用相同或相似的密碼,而且多數用戶會在允許的情況下選擇簡單易記的密碼,例如自己的生日、母親的娘家姓名或親戚的姓名。對於攻擊者來說,簡短密碼相對容易破解。攻擊者用以破解受害者密碼的部分常用方法包括:
• 猜測 - 攻擊者企圖通過反複猜測可能的字詞(例如用戶子女的姓名、用戶的出生城市和當地運動隊等)來使用用戶帳戶完成登錄。
• 聯機字典攻擊 - 攻擊者使用包括字詞文本文件的自動程序。通過每次嚐試時使用文本文件中的不同字詞,該程序反複嚐試登錄目標係統。
• 脫機字典攻擊 - 類似於聯機字典攻擊,攻擊者獲得存儲哈希處理或加密處理後的用戶帳戶與密碼的文件的副本,然後使用自動程序來破解每個帳戶的密碼。如果攻擊者已經設法獲得了密碼文件的副本,此類攻擊便可迅速完成。
• 脫機蠻力攻擊 - 此類攻擊是字典攻擊的變體,但此類攻擊的宗旨是破解字典攻擊所用文本文件中可能沒有包括的密碼。盡管可以在聯機狀態下嚐試蠻力攻擊,但出於網絡帶寬和網絡等待時間,一般是在脫機狀態下使用目標係統密碼文件的副本來實施此類攻擊。在蠻力攻擊中,攻擊者將使用自動程序生成所有可能的密碼的哈希值或加密值,然後將這些值與密碼文件中的值進行比較。
通過使用強密碼,可以顯著降低所有這些攻擊方法的速度,或甚至擊退這些攻擊。因此隻要可能,對於自己的計算機帳戶,計算機用戶都應使用強密碼。運行基於 Microsoft® Windows NT® 的 Windows 版本(包括 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server2003)的計算機都支持強密碼。在 Windows 中,如果某個密碼中的字符來自下麵“字符類別”表格中五組中的至少三組,該密碼即為強密碼。
字符類別小寫字母 | a、b、c... |
大寫字母 | A、B、C... |
數字 | 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 |
非字母數字字符(符號) | ( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / |
Unicode 字符 | €、Γ、ƒ 和 λ |
注意:空格字符不屬於這五組字符中的任何一組,也不能提高密碼複雜性。
高度機密帳戶(例如管理員或高級管理者使用的帳戶)的密碼或者用以運行重要網絡服務的密碼應由四組甚至全部五組中的字符組成。而另一方麵,由人類使用的密碼必須易於記憶,丟失高級管理人員或關鍵管理員帳戶的密碼將造成嚴重後果。本文檔說明 Windows 係列操作係統中如何存儲密碼,並為管理員就如何最大程度地提高密碼安全性提供了指導。
這些矛盾的要求可以通過采用密碼短語(而非單詞密碼)來克服。支持強密碼的每個 Windows 版本都支持在帳戶密碼中使用空格和標點符號。例如,“I re@lly want to buy 11 Dogs!”即為一個有效密碼短語。該密碼的字符數超過了二十個,是一個超長的密碼短語,且包含的字符來自 5 個可能的組中的 4 個。而且該密碼短語也易於記憶!多數密碼破解工具假設密碼絕不會超過 14 個字符,而這也是 DOS 網絡啟動磁盤、Microsoft 遠程安裝服務 (RIS) 預執行環境 (PXE) 啟動磁盤和更老的 LAN 管理器客戶端 (Win9x) 必須使用的一種限製。即使並不複雜,超長密碼(大於 14 個字符,最多 128 個字符)也可能可以十分有效地防止高度機密密碼被破解。
注意:請不要將本文檔中的示例密碼用作您的密碼。盡管上麵討論的密碼“I re@lly want to buy 11 Dogs!”特別長和複雜,但攻擊者可能會將該密碼及本文檔中的其他樣例密碼添加到他們的攻擊工具中。
如果管理員須遵循舊版係統、RIS 或類似要求,或管理員僅僅是不喜歡處理過於長的密碼,使用相對較短但包含複雜字符的密碼也能提供不錯的保護作用。但請注意,密碼長度越大,其破解難度也越高。同時增加複雜程度和長度可以使密碼成為最難以破解的密碼。建立貴組織的密碼策略可幫助保護用戶免於被攻擊者冒充,從而避免貴組織機密信息的丟失、暴露或破壞。
密碼策略樣例
弱和空白的密碼是攻擊者入侵計算機與組織網絡的最簡單方法之一。很長時間持續使用的密碼或頻繁重用的密碼也可能更加易於被攻擊者破解。
要增強對網絡中帳戶的保護,訪問企業計算機係統時必須使用強密碼。您應該定期更改自己的密碼,以及使用與以前密碼不同的密碼。
強密碼是長度不低於八個字符的密碼,且所用字符須來自下列五組中的三組:
1.小寫字母
2.大寫字母
3.數字(例如 1、2、3)
4.符號(例如 @、=、- 等等)
5.Unicode 字符
密碼還不得包含用戶帳戶名中所具有的三個或更多連續字母。每 42 天即要求更改一次密碼,且不得重用密碼。
在更改密碼之後,新密碼將自動進行複雜度檢查並與舊密碼進行比較。這些要求可能聽似令人不快,您也可能會因而記下自己的密碼,並將密碼記錄粘貼於書桌、計算機顯示器或其他一些方便位置。但如此做法即會將您的計算機和整個組織暴露於極大危險的威脅之下,因為任何人都可以接近您的計算機並使用您的憑據登錄網絡。因此,絕不要將密碼寫下來。而是應該創建易於記憶的密碼。
下麵,您將了解一些關於密碼安全的其他背景信息以及關於如何創建易於記憶的強密碼的具體建議。
使用密碼短語
相對於使用“單詞密碼”,使用“密碼短語”進行思維也許還會更簡單一些。如果計算機運行的是 Windows NT 4.0 或更低版本、Windows 2000、Windows XP 和 Windows Server 2003,則可以支持十五個或更多字符(包括空格)。因此,“You can try to break this until the cows come home!”是一個完全有效的密碼短語,即便使用現有最好的密碼破解工具,攻擊者要破解此密碼也難乎其難。如果您的計算機運行上述操作係統之一,請嚐試使用很長的密碼短語,並包含大寫字母、小寫字母、數字與符號的組合。
請注意,實際應用時不應使用本文檔中的示例密碼,盡管上麵討論的密碼 “You can try to break this until the cows come home”非常長,但攻擊者可能會將此密碼及本文檔中的其他樣例密碼添加到他們自己的攻擊工具中。這些密碼是示例密碼,您應始終創建自己獨有的密碼。
更多密碼提示
下麵的信息提供了有關創建和記憶單詞密碼與密碼短語的各種提示,以及應執行或不應執行的操作。
1.使用多個單詞
不要僅用熟人的姓名,例如“Allison”,而改用有關此人的不為他人所知的信息,例如“AllisonsBear”或“AlliesBear”。
2.使用符號而不是字符
很多人往往會在自己所知道的單詞後麵補充必要的符號和數字,例如“Allison1234”。但不幸的是,此類密碼相對易於破解。單詞“Allison”收錄在大量包含常用姓名的字典中;一旦此姓名被發現,攻擊者即僅需猜測另外四個相對簡單的字符。因此,請改用自己可以輕鬆回想起來的符號替代該字中的一個或更多字母。很多人擁有自己的富有創造性的譯碼方法,即使用一些相似符號和數字替換字母。例如,使用“@”替換“A”,“!”替換“l”,零 (0) 替換“O”,“$”替換“S”,以及“3”替換“E”。使用這些替換,您可以認出“@llis0nbe@r”、“A!!isonB3ar”和 “A//i$onBear”,但要猜測或破解這些密碼則難乎其難。請觀察鍵盤上的符號,並思考進入腦海的第一個字符,其他人可能不會想到這個字符,而您則會記住這個字符。現在就開始使用一些此類符號作為密碼的替代符號。
3.選擇記憶中的事件或人物
要記住一個數月之後將進行更改的強密碼,請嚐試選擇即將出現的人物或公共事件。借此提醒自己生活中正在發生的美好事物或自己所敬仰或喜愛的個人。如果密碼非常有趣或可愛,這個密碼則不太可能被忘記。將密碼設置成您自己獨有的密碼。請務必使用包含兩個或多個單詞的詞組,然後插入您自己的符號。例如,“J0hn$Gr@du@tion”。
4.使用單詞諧音
一般說來,攻擊者使用的密碼字典會搜索密碼中的單詞。如前文所述,不要害怕使用單詞,但務必在這些單詞中間插入大量符號。另外一個打擊攻擊者的方法是避免正確拚寫單詞,或使用自己可以記住的有趣諧音。例如,“Run for the hills”可以變成“R0n4dHiLLs!”或“R0n 4 d Hills!”。如果您的老板恰巧叫做 Ron,您甚至可能在每天鍵入這個密碼時暗自發笑。如果您是一位“無恥”拚字高手,那您在這場比賽中便已搶得先機。
5.不要害怕創建長密碼
如果您記憶完整短語的效率更高,那就創建完整的密碼短語。密碼越長,其破解難度越大。盡管密碼很長,但如果您自己可以輕鬆記住,那您在進入係統時就會少了許多麻煩,即便您的打字排名不是世界第一。
6.使用短語的首字母
要創建易於記憶的強密碼,請首先寫下一個易於自己記憶的大小寫形式和標點符號正確的句子。例如“My daughter Kay goes to the International School”。然後,提取句子中每個單詞的首字母,並保留其大小寫形式。對於上例,即得“MdKgttIS”。最後,使用一些非字母數字字符替換密碼中的部分字母。您可以使用“@”替換“a”,或使用“!”替換“L”。經過此番替換,上述示例密碼將變成“MdKgtt!S”- 這將是一個破解難度極高而您自己卻可以輕鬆記住的密碼,隻要您能記住創建該密碼所依據的句子。
建議操作:
• 組合易於自己記憶而他人難以猜測的字母、符號和數字。
• 創建易於自己記憶的可讀密碼(即便這些密碼不是單詞),避免寫下自己的密碼。
• 嚐試使用自己喜歡的短語的首字母,特別是那些包含了數字或特殊字符的組合。
• 選擇兩個相似字符、符號或數字,將其布置於某個數字或特殊字符的兩側。或者,也可更改拚寫,在密碼中包括特殊字符。這樣,即得到了陌生密碼(一個不錯的密碼,因為該密碼方便您自己且僅是您自己的記憶,而對於他人則難以破解)。請參見下列示例:
“Phone + 4 + you”=“Phone4you”或“Fone4y0u”
“cat + * + Mouse”=“cat*Mouse”或“cat*Mou$e”
“attack + 3 + book”=“attack3booK”或“@tack3booK”
忌諱操作:
• 不要使用個人信息,例如自己 ID 的派生形式、家庭成員的姓名、娘家姓、汽車、牌照、電話號碼、寵物、生日、社會保險號碼、地址或愛好。
• 不要使用正序或逆序拚寫的任何語言的任何單詞。
• 不要將密碼與月份聯係起來,例如不要在五月使用“Mayday”。
• 不要新建與以前使用的密碼極為相似的密碼。
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
