1. 口令安全问题
1.1 什么是口令
- 身份验证的机制,俗称“密码”,对应英文单词为password
- 成本较低,得到广泛的应用
- 信息安全中的“密码”对应的单词为“cryptography”,指一种对信息进行变换以保护信息安全的技术
1.2典型弱口令
- 应用中最常见的安全问题,用户会使用一些较方便记忆的、简单的组合作为口令
1.3 若口令类型
- 简单的数字,123456、666666、123123等
- 键盘上按键连续的字母:qqazwsx、qwerty等
- 常见英文单词或短语:password、iloveyou等
1.4 口令安全问题——弱口令
- 用户相关的信息作为口令的情况也属于弱口令
- 例如:手机号作为口令,使用名字拼音、生日或纪念日日的组合
- 微博中的孩子的生日信息
- 如果使用孩子生日作为口令
1.5 口令安全问题——默认口令
- 被认为是若弱口令的一种
- 类型
- 默认管理员口令:应用或系统在出厂时候对管理账号都会设置一个默认的口令,使用默认口令不更改没有任何安全性可言
- 用户默认口令:系统会为每个用户账号设置默认的j口令
- 案例
- 高考考生填报志愿的账号口令身份证后六位
1.6口令安全问题——机制缺陷
- 口令不安全传输
- 协议缺乏安全机制,明文传输数据
- 不安全的存储
- 未尽加密存储的口令
2. 口令破解攻击
2.1 口令破解攻击——远程暴力破解
2.1.1 针对登陆口令的攻击
- 利用软件反复多次模拟身份验证行为过程以猜测出登陆口令的一种攻击
- 古老但一直有效的攻击方法
2.1.2 防御措施
- 设置“安全”的口令
- 限制登陆输入错误口令次数
2.2 口令破解攻击——口令字典
- 根据用户口令设置规则构建常用口令字典
- 字典中收集了用户常用密码
- 有效提高密码破解效率
- 口令字典内容容
- 弱口令
- 社工口令
- 泄露口令数据库
2.3 口令破解攻击——木马窃取
2.3.1 木马窃取口令
- 屏幕快照木马:从输入框中获取口令
- 键盘记录木马:通过获取击键记录获得口令
2.3.2 防御措施
- 使用安全输入控件
- 软键盘,对抗击键记录
- 随机排列字符,对抗屏幕截屏重现
2.4 口令破解攻击——网络钓鱼
- 伪造受信任网站,诱骗用户输入用户名/口令
2.5 口令破解攻击——网络嗅探
- 利用TCP/IP缺乏安全机制获取口令
2.6 口令破解攻击——彩虹表
- 密码字典
- 根据一定规则生成的口令列表
- 彩虹表
- 彩虹表的前身:预见计算的散列链
- 是破解资源(时间、空间)的平衡
3. 口令破解安全防护
3.1 口令破解防护——账号锁定
- 设置账户锁定策略,对输入错误达到一定次数的账户进行锁定
- 账户锁定时间
- 账户锁定阈值
- 重置账户锁定计数器
3.2 口令破解防护——验证码
- 增加随机验证(对抗机器识别)
- 变形
- 干扰
- 滑块
- 图像识别
3.3 口令破解防护——模块
- 目前安全验证信息中常用的一种方式
- 根据鼠标操作、滑动轨迹、计算拖动速度等方式来判断是否是人为操作。
3.4 口令破解防护——短信验证码
- 登陆时应用将一个验证码发送到该账户预留的手机号上进行验证
- 双因素认证:实体所知(用户名/口令)、实体所有(手机号)
4. 口令使用安全管理
4.1 设置“好”的口令
4.1.1 好的口令特点
- 自己容易记:口令应有一定的规律,并且规律方便记忆
- 别人不好才:规律是攻击者无法猜出或者难以想想到的
4.1.2 范例:程序员的口令
- 2qrs9cs,Y7zzzmm(两情若是久长时,尤其在朝朝暮)
- Lyp82nlf(来一瓶82年拉菲)
4.1.3 “好”的口令设置
- 记忆一段话,用于设置口令
- 规律口令+随机设置(根据目标系统设置)
- Lxf123@TxqqLxf(陆小凤123@qq)
- 123@ALdd(陆小凤123@阿里钉钉)
4.2 口令使用习惯
- 不要将口令卸载纸上随意防止
- 不要将口令存放在未经防护的文件中
- 口令分级分类,重要的账户口令不要与普通的账户口令相同
- 输入口令时关注周边环境安全
- 定期更改口令