admin管理员组文章数量:1535470
计算机中口令的由来:在20世纪80年代,当计算机在公司里开始被广泛地应用时,人们便很快意识到保护计算机中信息的重要性。最初人们仅用ID来标识自己的身份,其他人很轻易的就能够得到ID,由于这个原因,口令诞生了,此后用户在登录时不仅要提供ID来标识自己的身份,还要提供只有自己才知道的口令来向系统证明自己的身份。
口令的出现确实提高了安全性,但仍旧存在一些问题
1、口令过于简单,容易被破解;
2、口令过于复杂,需要记录口令,记录方式会增加口令的不安全性。
3、部分系统和软件有默认口令或是内建帐号,只有少部分人会去修改。
针对上述的三点问题打印了调查问卷,由于涉及“隐私”,因此只询问了有一定亲密关系的同学。(口令 = 密码)
样本:23人(六个男生寝室,包括自己)
问题一:是否更换过初始密码(系统默认/最开始的密码)?
问题二:密码是否只包含1~2种字符?
问题三:多久更换密码?
问题四:密码是否被记录?
问题五:密码是否相似?
对象: | 智慧安大 | 教务系统 | 实验平台 | | 微信 | 银行卡 |
问题一: | 3(13%) | 3(13%) | 1(4%) | 0(0%) | 0(0%) | 4(17%) |
问题二: | 23(100%) | 23(100%) | 23(100%) | 23(100%) | 23(100%) | 23(100%) |
问题三: | —— | —— | —— | —— | —— | —— |
问题四: | 0(0%) | 17((74%)) | 0(0%) | 0(0%) | 0(0%) | 0(0%) |
问题五:21(91%)人
由于样本数目过少,身份单一(学生),可能无法反应出真实的情况。
上述的六个对象中,QQ,微信,银行卡的密码需要自设,其余三个都有系统默认密码,且安全强度极低(智慧安大,教务系统:身份证后六位,实验平台:学号);智慧安大,教务系统强制要求过修改密码,智慧安大修改要求为两种字符及以上,教务系统为四种字符(数字,大写字母,小写字母,特殊符号);QQ,微信,银行卡与手机进行了绑定。
通过了解得知绝大多数银行的密码设置不能与持卡人的生日相近,在最开始设置初始密码的时候,有16位同学都被系统提示与生日相近。
由于教务系统的密码有四种字符组成,绝大多数询问者无法完整的记忆会选择备忘录,且密码就是由常用密码+特殊符号+改大小写组成,仍旧存在安全隐患。
在询问密码是否相似的这一问题时,有两位同学甚至将密码说出让询问者判别的情况。QQ与微信的手机绑定虽能杜绝所有的口令攻击,但当手机被攻击者获取后依然有安全隐患,由此可以总结出安全问题的第四点:身边人窃取口令。
其中有21位同学对于自身的密码有相当大的自信,并且相信不会有人去攻击/泄露。1位同学对于其密码总是抱有不安全感,经常更换。最后一位同学认为只要不主动泄露就不会存在安全隐患。
通过对调查问卷的数据进行分析,很容易就得到大学生不重视口令系统的安全问题这一结果。
针对上述密码通过已知的口令攻击方法:词典攻击,组合攻击,强行攻击(暴力破解)。在有限的时间内能够破解绝大多数密码。
词典攻击:使用一个包含大多数词典单词的文件,利用这些单词来猜测口令。在大多数系统中,和尝试所有的组合相比,词典攻击能在很短的时间内完成。针对词典攻击所不能破解的密码,强行攻击所需的时间呈几何倍的上涨。
组合攻击:在词典单词的基础上串接几个字母和数字。绝大多数被询问者的密码中都包含姓名以及生日。只有1位同学的密码是无规律(没有表层逻辑排序:字母表,键盘关联等)无意义(与姓名,身份证等无关)的字符串。
强行攻击:尝试字母、数字、特殊字符所有的组合。该方法更像一种理论依据,用来论证“没有攻不破的口令”这一观点。
通过实验:教务系统密码过于复杂,实验平台大多数密码未修改,因此在征得本人同意的情况下,获取智慧安大的密码(ID为学号),输入一个简单的对比程序进行实验。(智慧安大只有5次错误机会,不利于实验的进行)
在有限时间内(18h),强行攻击能够破解的口令,词典、组合攻击所需要的时间更加短暂。而词典、组合攻击无法破解的密码,强行攻击在有限的时间内也无法破解。
由于已知密码(9位同学),针对密码进行分析,全部都是个人信息或加上特殊字符(112233、5201314、123456等)组成。再次进行实验,将密码中所包含的以及无关的个人信息输入到字典当中,有限时间内,词典、组合攻击能够全部攻破。
这里我所采用的是最简单基本的攻击方式:有规律的去猜测。但在真正的网络环境中,攻击口令的方式是无法轻易防范的:
- 口令蠕虫
- 特洛伊木马
- 网络监听
- 重放
- ……
虽然实验样本过少,但不妨大胆的猜测实验结果是一种普遍现象,即绝大多数的学生不重视甚至是忽视口令的安全问题,他们的口令简单且易攻破。
除了上述的简单口令,针对系统中所保存的口令,防止其未授权的泄漏、修改和删除是尤为重要的。
想要保护口令不被未授权的泄漏、修改和删除,口令就不能按照纯文本的方式存放在系统之中,如果系统中有包含着口令的文本文件,这样很容易被读取。密码学中的加密手段是保护口令的一个方法,加密能隐藏原文,即使有人得到了包含口令的文件,也无法确定其原始的口令。
即使保存口令的方式有多么的安全,但是“没有攻不破的口令”。那么可不可以采用一些方式,使得口令不再是密码。由此安全专家提出了一次口令技术(OTP)。
一次口令技术:
1、在用户和远程服务器之间建立一个“通行短语” 。它们之间还要具备一种相同的“计算器”,作用是生成一次性口令。
2、当用户向服务器发出连接请求时,服务向用户提示输入种子值。种子值(seed)是分配给用户的在系统内具有唯一性的一个数值,也就是说,一个种子对应于一个用户,同时它是非保密的。
3、服务器收到种子值之后,给用户回发一个迭代值做为“挑战”。迭代值(iteration)是服务器临时产生的一个数值,与通行短语和种子值不同的是:它总是不断变化的。
4、用户收到挑战后,将种子值,迭代值和通行短语输入到“计算器”中进行计算,并把结果作为回答返回服务器。
5、服务器暂存从用户那里收到回答,因为它也知道用户的通行短语,所以它能计算出用户正确的回答,通过比较就可以核实用户的确切身份。
这种方式能够很好的杜绝基于网络的攻击手段,但“通行短语”仍旧存在泄露的风险。
通过上面的讨论,可以将“没有攻不破的口令”意味:所有的口令在无限的时间内都会被破解,在有限的时间内可能被破解。因此对于我们而言,在小于有限时间内的周期中更改口令仍旧是行而有效的一种方式。(参考教务系统:四种字符,提高攻破难度,延长有限时间;定期提醒,强制更改,不许与近期密码相同)
版权声明:本文标题:信息安全工程——口令系统安全(理论) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1726906955a1089875.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论