百度一下 藏锋者 就能快速找到本站! 每日资讯归档 下载藏锋者到桌面一键访问

当前位置:主页 > 网络安全 > 固定密码认证方式的缺陷和潜在攻击隐患

固定密码认证方式的缺陷和潜在攻击隐患

所在栏目:网络安全 时间:05-21 07:03 分享:

在讲解认证的例子中的“PASSWORD”,我们称之为“常规口令(密码)”。目前各类计算资源主要靠固定口令的方式来保护。比如你需要访问一个NT系统,首先必须在这个NT上设置一个账户,并设定密码。当通过网络访问NT资源时,系统会要求输入你的账户名和密码。在账户和密码被确认了以后,你就可以访问NT上的资源了。这种以固定密码为基础的认证方式存在很多问题,最明显的是以下几种。

1)网络数据流窃听(Sniffer)

由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。

2)认证信息截取重放(RecordReplay)

有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,将使用截取重放方式。

3)字典攻击。

由于多数用户习惯使用有意义的单词或数字作为密码,某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符,以增加口令的安全性。

4)穷举尝试(BruteForce)。

这是一种特殊的字典攻击,它使用字符串的全集作为字典。如果用户的密码较短,很容易被穷举出来,因而很多系统都建议用户使用长口令。

5)窥探。

攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。

6)冒充窃取。

攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令。

7)垃圾搜索。

攻击者通过搜索被攻击者的废弃物,得到与攻击系统有关的信息,如果用户将口令写在纸上又随便丢弃,则很容易成为垃圾搜索的攻击对象。虽然用户可以通过经常更换密码和增加密码长度来保证安全,但这同时也给用户带来了很大麻烦。

固定密码认证方式的缺陷和潜在攻击隐患 免费邮件订阅: 邮件订阅

图片推荐

热点排行榜

CopyRight? 2013 www.cangfengzhe.com All rights reserved