弱密码
3月 28th, 2007 | Author: syber | In 建议, 网络, 黑客 |
Print This Post
| Permalink
我昨天看了一篇文章“我是如何骇客你薄弱的密码“,于是想到是不是我该写一篇文章来谈谈,我认为这很有必要。文章的作者在最后比较具体地谈到他如何发现你的密码并进入你的户头。他的第一步是使用人们非常普遍使用的密码,他同时需要你个人的一些资讯来配合,而这些一般能从社会引擎上得到。据统计尝试这些最普遍的“十大密码“就已经能够发现不少用户的密码。
普遍的密码就能让他很快的进入那些使用这些密码用户的账户。他的下一步是用强制性的方式在一些安全上比较弱的网站上算出密码,这些网站通常在大量密码穷举时短时间内没有反应。大多数网站会在一些重复进入要求失败后暂时封锁他们的IP地址,但是这并不是难事,如果你知道用代理服务器使用不同的IP地址来进行攻击。
但是他介绍的一些强制型的软件已经过时,Brutus? wwwHack?那是上世纪的事。目前对付基本授权和表格保护的网站所使用的是C-Force和Sentry。强制性穷举有一个不利因素,如果你不知道用户名你要同时尝试用户名和密码,这样的话就不能保证你能发现你想要骇客的用户。你可能发现一些别人的细节但这不是你想要的。这样,强制性穷举只是一种在你知道对方用户名的情况下的选择之一。
这里用两种方式来强制穷举一个账户。第一种是使用预先产生的用户名和密码名单去尝试对方的账户。第二种是尽可能地尝试每一个符号集合体。近来几年来后者被证明比较有效,主要取决于选择的密码大小。
所以,强制穷举并不是一个真正的选项,他并没有解释除了cookies他如何得到用户名的。Cookies是储存在对方的机器里,这样就意味着他需要进入对方的电脑,或在对方在线时取得一个可以利用的东西。并不非常可行。
所以,能让读者从他的分析中学到什么东西呢?
不要滥用密码,最保险的方法是使用不同的密码。如果你只使用一种密码,那么当他人取得一个后别的也就不攻而破了。
不要使用那些非常容易猜或太普遍的密码。不要用名字、体育队名、关系词、宠物、与工作相关的名字、爱好等等。
如果可能的话使用数字和特殊的符号来增加安全性,记住密码的长短很重要。
记下你的密码并把它放在安全的地方,或者使用加密软件来储存。你可以使用隔离加密来即时储存你的密码在一个普通文档里。
每个密码都很重要,都有可能来获得用户的额外资料,绝不能轻视。
Related posts
Leave a Reply