`
ihuashao
  • 浏览: 4515482 次
  • 性别: Icon_minigender_1
  • 来自: 济南
社区版块
存档分类
最新评论

如何防止黑客入侵[2]:攻击者如何搞定你的口令/密码?

阅读更多

  在上一个帖子 ,俺强调了高权限用户的潜在风险。接下来,咱要介绍一下,和口令相关的安全话题。毕竟在大伙儿的日常生活中,口令的使用是必不可少滴。
  考虑到和口令相关的内容较多,俺分两部分来说:今天首先揭露攻击者的种种伎俩;下一帖再详述应对的措施。

  ★使用密码的场合(密码的类型)
  为了便于后面的叙述,俺有必要先总结一下,使用口令的几种场合。
  针对这几种不同的场合,攻击者会采取不同的攻击手法;因此,大伙儿也要采取针对性的防范手法。

  ◇操作系统用户的口令
  这种场合应该好理解。目前主流的操作系统都具有口令验证的用户登录机制。

  ◇各种网络应用的口令
  随着网络(尤其是Web)的普及,这种场合越来越多。比如:Email、即时通讯(IM)、BBS、上网炒股、等,都需要有用户口令认证。

  ◇各种本地应用程序的口令
  此种场合可能不如网络应用的口令那么常见。比如:用口令加密的压缩文件、用口令加密的Office文档、PGP密钥的口令、Outlook设置的启动口令、等。

  ◇其它
  除了上述3种类型,其它那些比较少见、杂七杂八的,统统归为其它。比如:BIOS的开机口令。

  ★攻击者如何通过技术手段搞定的你的密码?
  前面列举了密码的不同使用场合。接着咱要介绍一下:攻击者会利用哪些技术手段,攻破你的密码。

  ◇木马盗取
  如果你的电脑已经被攻击者安装了木马,那你的一举一动有可能都会被监视。在这种情况下,你在这台电脑上输入的任何密码,都将会被攻击者获取。所以,这种情况是很危险滴——不管是哪种类型的密码,都可能被盗。
  至于如何防止自己的计算机被植入木马,不是本帖的重点。俺会在本系列 后续的帖子中专门介绍木马的防范。

  ◇弱密码猜解
  所谓的“弱密码猜解”,就是说:如果你的密码比较弱,攻击者可以猜出来。这种攻击手法,对于操作系统用户口令、网络应用口令、本地应用口令,都适用。而且攻击者在盗取口令的时候,通常会先尝试进行弱口令猜测。为啥捏?
  因为大部分用户都不太具有安全意识,口令都会比较简单(比较弱)。并且,根据二八原理 ,绝大多数的傻瓜用户会使用极少数的弱口令。所以,攻击者先把最流行的那些个弱口令挨个试验一遍,没准就已经成功了。
  为了让大伙明白弱口令的严重程度,来看看2009年底的“一个案例 ”。
   话说国外一个小有名气的交友网站(RockYou)被黑客攻破。里面大约3260万用户数据被盗。更加杯具的是,RockYou采用明文方式存储用户的 口令。因此,这3260万用户的口令也统统暴露鸟。后来有好事者把被盗的用户口令拿来分析一番。结果发现,有相当多的用户在使用一些极其弱智的口令。
  用的最多的TOP 10分别是:
1、123456
2、12345
3、123456789
4、password
5、iloveyou
6、princess
7、rockyou
8、1234567
9、12345678
10、abc123
据说名列第一的口令(123456)有30万人使用,真是不看不知道,一看吓一跳啊!

  ◇暴力破解
  除了对弱密码进行猜解,攻击者还可以通过穷举的的方式,破解中等强度的密码。所谓的穷举法,就是把所有可能的字母/数字的组合都试验一遍,直到找到正确的密码。
  现在CPU的计算能力日新月异,尤其是多核CPU普及之后,暴力破解的效果会越来越好。除非你的密码很强,才能彻底消除暴力的风险。
  由于这种攻击手法,需要进行成千上万次的试错,所以比较适合针对本地应用的口令(比如破解加密的压缩文件),而不太适合对网络应用进行在线口令破解。
  在下一个帖子,俺会介绍,如何构造强度较高的密码。

  ◇网络传输截获(嗅探)
  在这种方式下,攻击者会通过嗅探 的方式,分析你的上网数据。如果你在上网过程中,存在明文传输的口令,就会被截获。
  非安全专业的网友,可能不太明白什么是“嗅探”,俺来稍微解释一下。攻击者会利用某些嗅探软件,收集网络上传输的所有数据。这个过程好比电话。嗅探软件类似于;你的上网数据类似于电话的通话内容。
  这几年,随着现在无线网络(Wi-Fi)的普及,网络嗅探的风险大大增加,列位看官切不可掉以轻心哦。

  ◇客户端截获
  所谓“客户端截获”,通常是针对网络应用的口令而言。举几个例子。
  例1:
 很多网友上网时,为了免去输入口令的麻烦,会让浏览器帮忙记住口令。通常浏览器会把这些口令保存在某个文件中(可能以明文方式,也可能以密文方式)。如 果某天你的电脑中了木马,那么木马程序有可能会盗走这个保存口令的文件。然后攻击者就可以通过分析该文件,破解出你保存过的所有网络应用的口令。
  例2:
 如果你是软件公司的开发人员,多半你会使用某种源代码版本管理工具(比如SVN、CVS、等)。为了免去每次操作时输入口令的麻烦。通常开发人员会让这 些客户端软件记住用户名和口令。如果哪天你中了木马或者电脑被盗,那么攻击者同样可以破解你保存下来的口令,进而用你的身份盗取源代码。

  ◇服务端截获
  和“客户端截获”方式相对的,还有“服务端截获”。具体是啥意思捏?俺来解释一下。
  凡是利用口令进行验证的软件系统,都需要存储和口令相关的信息。否则的话,软件系统就无法验证用户输入的口令,到底是不是正确的。如果攻击者能够拿到这些口令的关联信息,那他/她就有可能分析出口令是啥。
  (如果你不是搞IT专业的,下面这段可能看不太明白)
  通常用三种方式来存储口令的关联信息:1、存储口令的明文;2、存储口令经过加密后的密文;3、存储口令的散列值。第一种方式是最土鳖的,稍微先进一些 的系统,都不会用了。后面两种方式,虽然看不到明文,但是攻击者还是有办法通过相应的算法,反推出口令的明文。具体细节,本文就不再多说了。
  那攻击者如何获得存储在软件系统的口令关联信息捏?其实前面提到的RockYou网站的杯具,就是一个很好的例子。俺再举另一个例子。
  比如:某个Linux/Unix服务器存在安全漏洞,攻击者利用此漏洞搞到了“/etc/shadow”文件。那么攻击者就可以采用上述提到的暴力破解的招数,攻破该服务器上所有强度较弱的口令。

  ★攻击者如何通过“非技术”手段搞定的你的密码?
  说完了技术手段,自然就得再说说 技术手段。所谓的非技术手法,也就是社会工程学手法(关于社会工程学的扫盲,请看“这里 ”)。用于盗取密码的社会工程学手法,大概有如下几种。

  ◇偷窥
  偷窥是最简单的一种社会工程学攻击手法。虽然简单,但是有效。比如很多盗取银行卡的家伙,就是偷窥的手法,得到被害人的银行卡密码。

  ◇钓鱼
   另外一个骗取口令的方式,就是通过网络钓鱼。比如某些攻击者,会伪造一个银行的网站。其界面和真实的网站一模一样。然后通过某种方式(比如:虚假链接、 欺诈邮件、DNS欺骗、等),引诱你到这个网站上。由于假网站和真网站的界面很像,你可能信以为真,然后在假网站中输入你的用户名和密码。
  有些高明的钓鱼网站,会采用类似Web代理的技巧:把你的所有输入操作,转而提交给真网站;然后把真网站输出的界面,再转回给受害者看。这样的话,受害者就跟在真实网站进行插作,没啥区别,不易看出破绽。
  更多关于网络钓鱼的介绍,可以参见“这里 ”。

  ◇分析
  如果攻击者对你比较了解,那么他有可能通过深入的分析,攻破你的口令防护。是不是觉得很神奇?很匪夷所思?其实这种招数很常见,且不算太难。俺来举个例子。
   相信很多网友都用过电子邮箱的找回口令功能。当你口令遗忘之后,可以通过回答事先预设的问题,来找回口令。很多不太专业的用户,预设的问题都很简单(比 如:你的手机号是多少?比如:你的生日是哪天?)。对于这类过于简单的问题,攻击者可以很容易地找到答案,从而窃取到你的邮箱口令。

  ◇欺骗
  最近几年,通过电话,骗取银行卡密码的案例越来越多。这种作案手法,就属于社会工程学中,“欺骗”的范畴。其实在IT领域,某些黑客也会利用这种手法来获取口令。具体的一些欺骗的伎俩,可以参见俺之前的“社会工程学系列 ”帖子。

  ★结尾
  介绍到这里,列位看官对黑客盗取口令的手法,应该有一个初步的认识了。本系列 的下一个帖子,将会具体介绍如何构造安全的口令/密码


版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想 和本文原始地址:
http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-2.html

分享到:
评论

相关推荐

    Web安全培训ppt(适合初学者)

    服务器:DDos攻击、CC攻击、黑客入侵、业务欺诈、恶意内容 3、常用渗透手段(3天) 信息搜集:域名、IP、服务器信息、CDN、子域名、GOOGLE HACKING 扫描器扫描:Nmap、AWVS、Burp Suite、在线扫描器 权限提升 权限...

    网络安全简答题.doc

    答:使用穷举法破译密码等信息的一种方法,如:字典攻击、破解操作系统密码、破解 邮箱密码、破解软件密码等。 9、简述缓冲区溢出的攻击原理。 答:当目标系统收到了超过其可接收的最大信息量时,会发生缓冲区溢出。易...

    《暗战强人-黑客及反黑客工具快速精通》武新华[.PDF]

    全书共分为14章,包括:黑客文化漫谈、黑客入侵前的准备、嗅探与扫描技术、欺骗与攻击技术、拒绝服务攻击技术、Web攻击技术、常见软件安全攻防、日志与后门清除技术、网络安全防御、病毒技术及其防御、木马入侵与...

    兰州大学兰大《计算机安全技术》21春平时作业3.docx

    选项A:社会工程攻击、蛮力攻击和技术攻击人类工程攻击、武力攻击及技术攻击 选项B:社会工程 击、系统攻击及技术攻击 正确选项:A 在美国可信任计算机标准评价准则定义的安全级别中,可以使文件的拥有者不能改变...

    网络安全知识测试题库.pdf

    黑客的主要攻击手段包括()[单选题] * A)社会工程攻击、蛮力攻击和技术攻击((正确答案) B)人类工程攻击、武力攻击及技术攻击( C)社会工程攻击、系统攻击及技术攻击 22.从统计的情况看,造成危害最大的黑客攻击是...

    网络安全题库.docx

    D:while 循环结构 参考答案: B 参考答案: C 第 2 题[单选题] 第8题[单选题] 背包公钥密码系统利用的是 关于被屏蔽子网错误的是 A:背包问题的多解性 A:如果攻击者试图完全破坏防火墙,他可以重新配置连接 B:...

    网络安全知识竞赛小测试--网络攻击技术.pdf

    发给同学让同学去打开,确保安全后再用 19、攻击者常用的攻击工具有(1)DoS 攻击工具,(2)木马程序,(3)分布式工具。其中 DoS 是指( )[单选题] * A.一种磁盘操作系统 B.拒绝服务(正确答案) C.一种黑客工具...

    网络安全(“网络”文档)共70张.pptx

    第 10 章 网络安全 攻击者通过改变网络中信息的流向或次序,修改或重发甚至删除某些重要信息,使被攻击者受骗,做出对攻击者有意的响应,或恶意增添大量无用的信息,干扰合法用户的正常使用。 2. 计算机病毒 计算机...

    网络安全培训.pptx.pptx

    13 常见的黑客攻击方法 口令攻击 网络监听 缓冲区溢出 路由攻击 逻辑炸弹 蠕虫 后门、隐蔽通道 计算机病毒 拒绝服务攻击( ) 特洛伊木马 其它网络攻击 常见的网络攻击(10种) 网络安全培训全文共58页,当前为第13页...

    计算机网络黑客防范措施-计算机安全论文-计算机论文.docx

    "黑客"原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员,一旦"黑客"进入计算机中,可以通过植入木马程序控制用户的主机,同时,黑客程序可以用来窃取密码、帐号、口令以及篡改网页、破坏程序等行为,对用户...

    计算机网络安全与管理.doc

    因为 系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能 在两端之间进行数据监听。虽然网络监听获得的用户帐号和口令具有一定的局限性,但 监听者往往能够获得其所在网段的所有用户...

    网络安全重要性.doc

    使攻击者获得程序的控 制权。 (6)伪装攻击。通过指定路由或伪造家地址,以假冒身份于其他主机进行合法通讯、 或发送假数据包,使受攻击主机出现错误动作。如IP欺骗。 (7)电子欺骗攻击。黑客利用TCP/IP协议本身的...

    黄淮学院\考试题\2010-2011

    为确保企业局域网的信息安全,防止来自Internet的黑客入侵,采用__C_____可以实现一定的防范作用。 A、网络管理软件 B、邮件列表 C、防火墙 D、防病毒软件 得分 评卷人 三、名词解释题(每题5分,共20分) ...

    网络安全策略研究(一).docx

    通过伪装发动攻击 利用软件伪造IP包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造IP地址、路由条目、DNS解析地址...

    论网络攻击技术与网络安全(全文).docx

    它是木马与控守中心通信的桥梁,一般也是被攻击者操纵的机器,木马通过跳板与控守中心联系,拥有控守中心的人就可以通过XX络操纵你的计算机,了解你的一举一动,捕获每一次键击事件,轻松窃取密码、目录路径、驱动器...

    网络安全体系结构(2).pptx

    网络安全体系结构 网络安全与管理 网络安全体系...信息流填充机制 攻击者对传输信息的长度、频率等特征进行统计,然后进行信息流量分析,即可从中得到有用的信息。 采用信息流填充技术,可保持系统信息量基本恒定,因此

    服务器系统安全分析报告.doc

    防DDOS攻击 1)使用Linux系统强大的命令手段防范Dos攻击 2)购买托管机房硬件防火墙的使用权,可以有效的防止较大的DDOS 攻击。 8.保护LINUX不被入侵 1)禁用不必要的网络 一般来说,除了http、smtp、telnet之外,其他服务...

    学生网络安全.docx

    2、 不要使用与自己相关的资料作为个人密码,如自己或男(女)朋友的生 日,电话号码,身份证号码,门牌号,姓名简写,这样很容易被熟悉你的人猜出。 3、 不要使用有特殊含义的英文单词做密码,最好不用单词做密码...

    网络安全试题完整版.docx

    黑客攻击是属于人为的攻击行为。 信息根据敏感程序一般可为成非保密的、内部使用的、保密的、绝密的几类。 防止发送数据方发送数据后否认自已发送过的数据是一种抗抵赖性的形式。 密钥是用来加密、解密的一些特殊的...

    网络安全技术复习题.doc

    ( ) 防火墙的作用是防止不希望的、未授权的通信进出被保护的网络.( ) 入侵防护系统 (IPS)倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截, 避免其造成损失,而不是简单地在恶意流量...

Global site tag (gtag.js) - Google Analytics