密码编码学与网络安全安全问题

来源:蜘蛛抓取(WebSpider) 时间:2015-05-11 05:55 标签: 密码编码学与网络安全
推荐这篇日记的豆列
······解析Windows密码安全问题(第二部分)
作者: Britta,  出处:IT专家网
在文章的第一部分中,我们详细探讨了默认Windows系统是如何建立的过程。请注意,默认Windows密码时使用Default Domain Policy GPO(与域相连的)建立的,这也是确定密码长度、期限和复杂性等密码规则的位置。在本文中,我们讲浅谈一下使用哪些技术可以“攻陷”Windows密码,本文的目的旨在帮助用户预防攻击,而不是教导用户如何盗取Windows密码。大家都知道,不同的Windows操作系统可以被不同的攻击方式进行攻击。在Windows Server 2003和XP中的密码保护有着显著的改善,能够有效帮助用户抵御黑客的攻击。
  注:本文中我们将讨论到的很多工具都是来自黑客网站,我建议大家不要在生产网络或者桌面任何类似产品和工具,以确保网络和生产环境不会收到这些工具的影响。此外,很多公司已经将禁止使用这些产品和工具写入安全管理条例,以确保员工不会下载、安全或者使用类似工具。
  社会工程学
  目前最流行最成功的盗取用户密码的方式就是社会工程学攻击,社会工程需攻击可能采用不同的方式和模式,有些攻击可能会模拟服务台、IT人员或者安全专家来获取密码。
  如果你认为社会工程学不可能在你的企业环境中发生,那么建议你看看关于IRS如何受到社会工程需攻击的报告,其结果相当惊人(链接为:)。这些报告结果都是耸人听闻的,再安全的企业环境都可能受到社会工程攻击。
  对付社会工程学攻击的唯一方法就是教导用户,教导他们如何保护自己的密码,经常重置密码、密码保密等。
  获取用户密码的另一种流行方法就是通过猜测来获取,这也是我们经常会采取的方式,最好加强密码的强度,不要让别人能够很容易猜到。如果你想知道很容易被猜到的密码清单,可以看看Conflicker用于攻入管理员帐户的密码清单。该蠕虫本身内置了一个密码破解器,使其成为非常强大的流氓蠕虫病毒。
  同样的,教导用户可以大大减少攻击者猜测获取密码的几率,向用户提供一些可以使用的强度较高的密码类型清单,密码不应该具备以下集中特点:
  ?太复杂
  ?使用常规密码
  ?简单的字母
  除了猜测密码外,另一种常见的情况就是,用户将密码写下来放在容易发现和看见的地方,例如,将密码写在便条上,然后贴在显示器上。甚至还有人将密码写在显示器或者键盘上,这些都是很错误的做法,在企业的计算机常规安全审计中应该监测和审核这些行为。
  攻击工具攻击
  另外还存在一些常见的黑客攻击,这些攻击能够采取很多方法来攻击windows密码。这些攻击者实际攻击的都是由操作系统生成的密码hash,这些hash对于不同层次的windows操作系统都是很重要的,因为更新的操作系统支持更好的hash算法。这些密码hash算法中最差的就是LanManager(LM),LM是为工作组Windows设计的,已经非常过时了。其次就是NTLM,然后是NTLMv2,最后是Kerberos。Kerberos是用于所有桌面和Active Directory环境内的服务器间的。
  Brute Force攻击也是很普遍的,在brute force攻击中,攻击工具配置为支持一套用于攻击密码hash的字符,在这里,所有字符的变体都会用于生成hash,然后将其与windows密码的hash进行比照,图1中显示的是可以执行brute force攻击的选项。
 图1: Brute Force攻击可以使用任何字符组合
  由于brute force攻击必须为你选择的所有字符组合生成hash,因此并不是十分有效。攻击者开发了一种存储不同字符组合hash结果到的方式,这被称为“Rainbow”表(彩虹表),彩虹表只是一种预定的hash表,彩虹表需要大约十分之一的时间来攻破密码,然后再brute force攻击。还有一种被称为Rainbow Table Generator的工具,如图2所示,可以生成你自己的自定义表。支持彩虹表的工具(如Cain和Able)显示在图3中。
vcsC0yei8xtfUvLq1xLLKuuex7Q==" src="/Article/68.jpg" width=500>
图2:你可以使用免费的工具Rainbow Table Generator来设计自己的彩虹表
 图3:几乎每种新密码攻击工具都支持彩虹表
  有很多种攻击方式可以盗取Windows密码,有些是高技术性的,还有些只是采用社会工程让用户自己透露其密码。在社会工程和密码猜测的大多数情况下,教导用户可以大大缓解问题。应该教导用户如何适当的创建不容易被猜出的密码,也不能将密码透露给其他同事。很多工具(如Cain和Able)有很多攻破密码的方式。希望各位用户意识到问题的严重性,积极主动保护自己的密码。
您对本文章有什么意见或着疑问吗?请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架,或者当前配置为不显示嵌入式框架。景峰网络欢迎您!
常见问题 - 密保问题
密码安全问题
&帐号被盗怎么办?角色是不是没有保障了?
& & 为了您帐号的安全,您可以提供身份证号码等验证身份的资料并封停您的帐号,避免他人恶意使用,尽可能减少您帐号的损失。
& &&如您要寻回遗失的密码,如果您已经将帐号绑定了手机,需要使用手机发送对应代码进行重置账号密码操作。如果您未绑定手机,您可以通过安全问题重置您的密码,或通过选择安全邮箱发送邮件方式到您的注册邮箱后,您可以在第一时间重新修改密码!
我的密码忘记了怎么办?
& &&如您要寻回遗失的密码,如果您已经将帐号绑定了手机,需要使用手机发送对应代码进行重置账号密码操作。如果您未绑定手机,您可以通过安全问题重置您的密码,或通过选择安全邮箱发送邮件方式到您的注册邮箱后,您可以在第一时间重新修改密码!
怎么修改游戏密码?
& &&您可以登陆我们景峰用户平台-帐号维护-修改游戏密码,根据页面的提示填写好相关信息,点&提交&,就能成功修改您的游戏密码了。
了解更详细信息,请致电:
或在线申诉留下相关问题:banner制作网密码安全问题 - 帮助中心 - 朝夕网图片制作 www.zhaoxi.net
当前位置: >
> banner制作网密码安全问题 >
& && 帮助导航
banner制作网密码安全问题
前段时间,大量网站密码泄露,一度造成大量用户安全恐慌。
在这里我们温馨的提醒大家,朝夕图片制作网,从一开始就是用了MD5加密技术,所以大家不需要担心安全问题。
凡是在本站注册的用户,密码都经过md5不可逆加密技术处理,任何人包括管理员以及直接查看数据库,都不能查看到大家的明文密码。
感谢大家一直以未来对我们的支持。
如果您需要注册会员账号,请访问:
关于MD5加密的摘要:1991年,Rivest开发出技术上更为趋近成熟的MD5算法。它在MD4的基础上增加了"安全-带子"(Safety-Belts)的概念。虽然MD5比MD4稍微慢一些,但却更为安全。这个算法很明显的由四个和MD4设计有少许不同的步骤组成。在MD5算法中,信息-摘要的大小和填充的必要条件与MD4完全相同。Den Boer和Bosselaers曾发现MD5算法中的假冲突(Pseudo-Collisions),但除此之外就没有其他被发现的加密后结果了。   Van Oorschot和Wiener曾经考虑过一个在散列中暴力搜寻冲突的函数(Brute-Force Hash Function),而且他们猜测一个被设计专门用来搜索MD5冲突的机器(这台机器在1994年的制造成本大约是一百万美元)可以平均每24天就找到一个冲突。
但单从1991年到2001年这10年间,竟没有出现替代MD5算法的MD6或被叫做其他什么名字的新算法这一点,我们就可以看出这个瑕疵并没有太多的影响MD5的安全性。上面所有这些都不足以成为MD5的在实际应用中的问题。
并且,由于MD5算法的使用不需要支付任何版权费用的,所以在一般的情况下(非绝密应用领域。但即便是应用在绝密领域内,MD5也不失为一种非常优秀的中间技术),MD5怎么都应该算得上是非常安全的了。
如果您对本信息有什么建议,请
Copyright & 2014 www.zhaoxi.net. All Rights Reserved

我要回帖

更多关于 密码编码学与网络安全 的文章

 

随机推荐