身份认证与口令加密
基于口令的认证
基于口令的认证方式是较常用的一种技术。在最初阶段,用户首先在系统中注册自己的用户名和登录口令。系统将用户名和口令存储在内部数据库中,注意这个口令一般是长期有效的,因此也称为静态口令。
基于静态口令的身份认证技术因其简单和低成本而得到了广泛的使用。但这种方式存在严重的安全问题, 安全性仅依赖于口令,口令一旦泄露,用户就可能被假冒。
因此基于口令的身份认证容易遭受如下安全威胁。
(1)暴力破解。在暴力破解中所使用的字典是字符串的全集,对可能存在的所有组合进行猜测,直到得到正确的信息为止。
(2)键盘监听。按键记录软件以病毒的方式植入到用户的计算机后,可以偷偷地记录下用户的每次按键动作,从而窃取用户输入的口令,并按预定的计划把收集到的信息通过电子邮件等方式发送出去。
(3)搭线窃听。通过嗅探网络、窃听网络通信数据来获取口令。目前,常见的Telnet、FTP、HTTP 等多种网络通信协议均用明文来传输口令,这意味着在客户端和服务器端之间传输的所有信息(包括明文密码和用户数据)都有可能被窃取。
(4)社会工程学(Social Engineering)。这是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等设置心理陷阱进行诸如欺骗、伤害等手段,取得秘密信息的手法。
为了尽量保证安全,在使用口令时通常需要注意以下几点:
(1)使用足够长的口令,不使用默认口令;
(2)不要使用结构简单的字母或数字,尽量增加密码的组合复杂度;
(3)避免在不同平台使用相同的口令,并且要定期更换口令。
密码与账户锁定策略实验
- 搜索gpedit.msc或组策略并打开组策略编辑器。
- 在计算机配置-安全设置中打开账户策略。
在密码策略中对口令进行如下设置:
- 开启密码必须符合复杂性要求
- 设置密码长度不少于6个字符
- 设置密码最长使用期限为30天
- 设置强制密码历史数为3
测试效果如下:
在账户锁定策略中进行如下设置:
- 设置账户锁定阈值为3
- 设置账户锁定时间为3分钟
- 设置重置账户锁定计数器时间为1分钟