网站、天涯、开心网、人人网等网站被曝大量用户的密码被泄漏以来,密码的安全问题已引起用户和业界的极大关注和重视。你的密码安全吗?上互联网站还会不会泄漏密
网站、天涯、开心网、人人网等网站被曝大量用户的密码被泄漏以来,密码的安全问题已引起用户和业界的极大关注和重视。你的密码安全吗?上互联网站还会不会泄漏密码?......从密码泄露或者被窃取的原因来分析,主要有如下几方面的原因:
l密码明文存储:在2000 并且,从当前的情况来看,弱密码设定在密码出现安全问题的情况下所占的比重超过80%目前密码破解程序大多采用字典攻击以及暴力攻击手段,而其中用户密码设定不当,则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码,这样,黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中,应尽量使用非字典中出现的组合字符,并且采用数字与字符相结合、大小写相结合的密码设置方式,增加密码被黑客破解的难度。而且,也可以使用定期修改密码、使密码定期作废的方式,来保护自己的登录密码。
口令长度至少为八个字符:口令越长越好。若使用MD5口令,它应该至少有15个字符。若使用DES口令,使用最长长度(8个字符)。
2) 混和字母和数字:在口令中添加数字,特别是在中间添加(不只在开头和结尾处)能够加强口令的强健性。
4) 挑选一个自己可以记住的口令:如果自己记不住自己的口令,那么它再好也没有用;使用简写或其它记忆方法来帮助自己记忆口令。
另外,还有一些原则需要牢记(8个需要避免):
1) 不要使用现成词汇:像名称、词典中的词汇、甚至电视剧或小说中的用语,即使在两端使用数字,都应该避免使用。
3) 不要使用黑客术语。
5) 不要倒转现存词汇:优秀的口令破译者总是倒转常用词汇,因此倒转薄弱口令并不会使它更安全。
7) 不要在所有机器上都使用同样的口令:在每个机器上使用不同的口令是及其重要的。这样,如果一个系统泄密了,所有其它系统都不会立即受到威胁。并且,不法用户也很难以一个系统为突破口,来威胁到你其他系统的安全。
三、使用密码分析工具验证密码的安全性
来验证其密码设定是否安全可靠。
John the Ripper,用于在已知密文的情况下尝试出明文的破解密码软件。主要支持对DES两种加密方式的密文进行破解工作。它可以工作于多中不同的机型以及多种不同的之下,目前已经测试过能够正常运行的操作系统有:Linux x86、x86、SPARC、DOS系列等。
John the Ripper 1.7组合键),下次还可以从中断的地方继续进行下去(john-restore文件中,SHADOW就不会进行无谓的重复劳动了。在程序的设计中,关键的密码生成的条件被放在JOHN.INI改设置,不仅支持单词类型的变化,而且支持自己编写C安装好后,我们可以灵活使用如下几种方式来对自己的账户密码进行测试(在Windows系统上如下方法都适用,只不过命令操作方式略有不同而已):
通常情况下,许多用户的密码命名方式非常简单,比如12345、hello、world等,或者很多都是与用户名相同的密码口令,那么我们一般可以先采用简单解密方式来对系统中的密码进行简单的初步试探,如果发现能够成功破解,那么就需要对这些密码口令的强度进行加强,如下所示:
//在上述命令中,我们发现系统存在一个jason,因而通过最简单的方式便能将其发现和利用,如果为黑客破解则将造成不可设想的后果,因而我们的用户应该立即根据此种情况进行口令加强。
、superman、asdfgh等作为自己的密码。而-rules,则JOHN、CoOl等单词变化进行解密。一般视SHADOW文件,其中包含了常用的以字典单词为依据的密码,那么我们对系统中的用户密码使用该方式进行试探破解,由于字典中保留了duango的密码所以也被试探出来,网络管理员同样需要对该密码进行加固,比如添加适当的后缀、字母和数字等:
// rules:在解密过程中使用单词规则变化功能。如将尝试cool单词的其他可能,如COOLER、Cool等,详细规则可以在JOHN.INI文件中的[List.Rules:Wordlist]部分查到。
l external:<模式名称>:使用自定义的扩展解密模式,用户可以在john.ini中定义自己需要的密码组合方式。JOHN也在INI文件中给出了几个示例,在INI文件的[List.External:******]中所定义的自动破解功能。
l通过上述软件测试,就可以确定用户的密码设定强度,如果容易为该软件破解,则需要尽快更换相应密码,从而提高密码的安全性。