【摘要】:1998年小莫里斯的“蠕虫事件”就是破解用户弱口令而攻击成功的。如果搜索工作分散在多个工作站上进行,则对所有的4096个密钥进行搜索的时间不超过1h。根据一项调查研究的结果,虽然UNIX系统的口令最长限制在8个字符,但普通用户在使用时选择6个以上字符的为85%,选择8个字符的为41.9%。所选的口令字包括在UNIX字典中的占4.5%。还有,可读的加密口令文件增加了口令的脆弱性。针对这种情况,研究一种完善口令安全机制成为现实的需要。
在社会的信息化发展环境中,信息资源访问控制依赖于口令机制。尽管许多安全人员一直努力,但是往往由于某个弱口令致使攻击者成功进入系统。1998年小莫里斯的“蠕虫事件”就是破解用户弱口令而攻击成功的。计算机硬件和软件技术的发展,使攻击口令更为容易了。
首先,CPU速度有了极大提高,再加上网络的普及和分段攻击算法的扩展,使攻击者有了千倍于10年前的计算能力进行口令攻击。在一台工作站上对包含25万个词条的字典进行搜索一遍的时间可降至5min。如果搜索工作分散在多个工作站上进行,则对所有的4096个密钥进行搜索的时间不超过1h。
其次,用户的安全意识较弱。用户仍然喜欢选择容易记忆的密码形式。根据一项调查研究的结果,虽然UNIX系统的口令最长限制在8个字符,但普通用户在使用时选择6个以上字符的为85%,选择8个字符的为41.9%。在字符的选择上,含小写字母的占28.9%,部分含有大写字母的占40.9%,含有控制字符的仅占1.4%,含有标点符号的仅占12.4%,含有非字母数字的仅占1.7%,直接选用注册时的用户信息(其中包括用户名、电话号码及用户ID)为口令的占3.9%。所选的口令字包括在UNIX字典中的占4.5%。总的来说,大约20%~30%的口令可通过对字典或常用字符表进行搜索或经过简单地置换发现,因此属于脆弱口令。(www.xing528.com)
还有,可读的加密口令文件增加了口令的脆弱性。针对这种情况,研究一种完善口令安全机制成为现实的需要。许多研究人员一直在做这方面的研究工作,美国政府特别重视口令安全问题,已制定出相关标准。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
