我们对“密码”概念并不陌生,随着加密安全技术的发展,密码学也已经产生。对于加密者,大多采用直观方式进行明文输入,经系统或终端进行特定法则加密后变为密文,当然也存在以直接存储形式出现的密码信息。对于各种密码而言,涉及到安全方面的隐患不仅仅是明文的保管,更多是针对算法或运行机制的跨越。我们将针以目前在计算机应用中常见的密码突破为切入点,了解当前常见密码的安全强度。
一、Windows密码
尽管大部分人在使用Windows系统,但其自身的系统密码可谓“不堪一击”。还记得早期Windows 98那个蠢蠢的登录界面吧,直接确定进去也能完成各种操作,在用户级别机制没有完善之初,系统密码的存在也就显得不重要了,这与BIOS密码没什么不同。
直到后来Windows 2000出现,登录密码才进入“正轨”,考虑到企业用户中不同组之间的权限需要,微软进一步加强了登录密码强度,遗憾的是著名的“输入法”漏洞搅黄了一切,虽然没有彻底跨越登录密码,但足以让系统资源暴露于众目睽睽之下。
Windows XP时代,关于SAM文件的争论一直没有停止。通过破解(删除)SAM密码数据库文件一直没有得到大众的认可,有些用户反应删除SAM文件后操作后系统的异常甚至崩溃让众人望而却步,直到后来出现纯正的DOS下破解工具,Windows XP系统密码才正式被终结。
Active Password Changer只需几步就可以让Windows XP登录密码灰飞烟灭,目前通过设置登录密码来保护数据资源已经得不到基本的安全保障了,并且,Vista也一样。
二、暴力方式
1.WinRAR
无论是个人还是企业,实际应用中压缩密码使用率都很高,我们经常通过WinRAR方式对文件名和数据进行加密。事实上,这种方法的确非常好,因为目前没有任何绝对的方法能够突破WinRAR密码,选择的只有暴破。
那些所谓能够快速破解RAR密码的产物,包括Advanced RAR Password Recovery,使用的人都知道不过是暴力方式,与其说是在破解,不如说是在碰撞密码。
LockDown曾经公布过一份采用“暴力字母破解”方式获取密码的时间表。如果你用一台带有双核CPU的计算机来破解密码,最简单的6位数字密码转瞬之间即可破解完成,而8位密码则需要348分钟;破解6位纯字母密码需要33分钟,8位密码却要用两个月;而最常见的数字+字母的组合密码,6位只要2个小时即可,8位要长达1年。
可见,在应对暴力破解时最好的方法就是提高密码位数,当然如果你愿意采用更复杂的密码元素(比如加入标点或者特殊字符),效果会更好。现在也许你能理解为什么那么多论坛程序在要求用户注册时需要输入8位密码了。
2.DRM保护
DRM即Digital Rights Management:内容数字版权加密保护技术。破解DRM的难题在于:DRM建立了一个数字节目授权中心,加密的数字节目头部存放着授权中心地址,用于在运行保护文件时到该中心进行验证,通过后方可正常播放。大家如果下载一些视频,运行后弹出一个密码框并通过网络验证,就表明该文件被DRM保护了。
从某种意义上说:破解这种文件的难度远大于WinRAR密码。虽然在破解工具和DRM版本相互升级厮杀过程中我们的确能成功破解一些文件。但按照常规方式,即使用现在最流行的破解工具FairUse4WM,也需要先获得该视频文件的Licence,如果具备了Licence,又没有破解的必要了。
三、密码未完成
以上两大方面概括了不同的密码破解形式。从强度级别上讲,暴力方式更安全一些,因为理论上所有密码都要经受暴力破解的威胁,但该破解方式的成功率也是最低的。与系统密码类似,还有很多软件的加密形式被突破,比如Office、Outlook等,已经有具体的工具来针对这部分密码,我们应该提高警惕,可以采用基于暴力破解方式的形式进行二次加密(比如WinRAR对Word文档的再加密)。
而对于暴力破解而言,除了上面提到的增加密码位数和元素种类外,还要避开密码心理学陷阱,英国媒体针对密码的一次匿名性统计很能说明问题,他们调查出最常用密码前10名分别是:
第十名thomas,使用率0.99‰(千分之)——英国最常用的名字
第九名arsenal,使用率1.11‰——阿森纳
第八名monkey,使用率1.33‰——六位,简单容易拼写
第七位charlie,使用率1.39‰——同样是英国常用的名字
第六位qwerty,使用率1.41‰——键盘“弱智”
第五位123456,使用率1.63‰——不予置评
第四位letmein,使用率1.76‰——让我进来吧
第三位liverpool,使用率1.82‰——城市?球队?
第二位password,使用率3.780‰——果然是“密码”
第一位123,使用率4‰——如果允许使用三位密码,123是绝大多数人的首选
自凯撒密码以来,密码算法演义了一幕幕技术之战,密码之间的攻防提升了密码的相对强度,对于企业用户而言,采用高强度密码是很有必要的,但此文想告诉大家,很多密码无论算法多么复杂,一些漏洞或者表象特征让其失去了最基本的安全性,我们应该梳理好整个安全系统,尽量杜绝防止相关领域弱密码的涉及,这对于企业内部数据的保护是至关重要的。
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · VPN技术 · SQL Server 2008/2005.. · SOA 面向服务架构 · 子网掩码教程 · SQL Server 2008/2005.. · RAID——磁盘阵列基础 · 中间件应用技术专题 · 深入了解PGP加密技术 |
· MySQL数据库备份 · 病毒查杀专题 · VPN技术 · Solaris 10 配置管理 · SSL VPN详细知识 · Linux防火墙 · 打造安全服务器 · Sniffer安全技术从入门.. |
|||
|
||||
| · VPN技术 · SQL Server 2008/2005.. · 中间件应用技术专题 · SQL Server 2008/2005.. · SOA 面向服务架构 · 子网掩码教程 · MySQL数据库备份 · RAID——磁盘阵列基础 |
· 身份认证技术 · 病毒查杀专题 · 清除流氓软件——51CTO.. · SSL VPN详细知识 · Sniffer安全技术从入门.. · VPN技术 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. |
|||
