原稿如下:
 
摘要:***的入门是从破解系统口令开始的,因此安全设置系统口令在网络***过程就尤为重要.本文就如何设置操作系统密码分别从***(社会工程学对口令的***,内网***,暴力破解)和防护(主要是策略)两个方面作了一次研究。
 
      很多***的入门都是从破解系统口令开始的,因此安全设置系统口令在网络***过程就尤为重要,即使***者获取了系统的密码,但由于破解密码所需要花费的时间成本太大,而放弃!当我们设定系统口令时,一般的人都会用自己熟悉的单词,或其它一些习惯用的数字,比如电话号码、生日等,这在便于他们记忆的同时,也在悄悄的为***者打开了方便之门。本文就如何设置操作系统密码分别从***(社会工程学对口令的***,内网***,暴力破解)和防护(主要是策略)两个方面作了一次研究,如有疏漏的地方,请多多指正。在此特别感谢安天365团队成员的指点和帮助,作为团队中的一员,我感到很荣幸!
(一)系统密码安全隐患与现状研究
1.口令设置上的漏洞
中国杀毒网记载了一个有趣的心理试验:从某在校大学生中随机抽出一百名学生,然后要求他们写下二个单词,并告诉他们这两个单词是用于电脑的口令、非常重要,且将来的使用率也很高,要求他们尽量慎重考虑。
结果却很出人意料:
(1)用自己的中文拼音者最多,有37人。
(2)用常用的英文单词的有23人, 其中许多人都用了很有特定意义的单词,如:hello,good,happy以及anything等等!
(3)用计算机中经常出现的单词有18人,这些单词中还有操作系统的命令,如:system,command,copy,harddisk,mouse,等等!    
(4)用自己的出生日期有7人,其中年月日各不相同,但其中有3人用了中国常用的日期表示方法!
上述测试中两个单词相同的有21人,接近相同的有33人,通过这些结果,如果在***过程中,满足字典***条件时,使用字典***成功的可能性非常高,我们称之为口令设置上的漏洞。
2.社会工程学对口令的***
***在***过程中会利用Google、百度等搜索引擎充分收集被***对象的各种资料,在***中,这些资料将起到辅助作用。通过本人的研究,发现在很多发生网络安全的事故中,很多数据库服务器、Ftp服务器、文件服务器、远程终端等均设置为相同密码,利用社会工程学来进行口令,不但可以很方便的***内网计算机,而且可以获取被***者的email、qq等帐号对应的密码。
3.内网***中对口令的***
内网***的思想是源于特洛伊***的思想,堡垒最容易从内部攻破,***者为了能够获得口令可谓煞费苦心,在他们江郎才尽的时候,打入“敌人”内部常常能让他们感到柳暗花明。为了能够成功***内网,***者通常采用如下手段:
(1)通过利用传统手法比如sql注入,漏洞溢出等得到一个分站的服务器权限,然后根据在分站上收集到的邮箱信息、 Ftp信息、网络拓扑信息、管理员常用的管理工具等来***到主站。
(2) 通过传送具有诱惑性的***来获得内网机器的控制权限,这应该算是一种社会工程学与漏洞的结合,比如0day,也就是word或是pdf或是ie0day发挥作用的地方。很多人拿到ie0day是直接用于挂马,其实ie0day还有更高的价值,那就是发邮件,如果管理员被成功的欺骗了并点击了***者发的邮件里的url链接,后果就很难预料了,最近BTV-7就介绍了淘宝商店发生的帐号盗用事件,就是通过“网络钓鱼”,让欺骗店主在“淘宝”网站输入用户帐号和密码而欺骗得逞!
(3) 社会工程学的又一次完美诠释:通过各种手段取得内网管理员或用户的信任,获得他的信息,比如QQ,Email,Msn等等,抓住他的弱点,或是心理,降低他的心理防线,在成熟的时候发送Url,或是打包的软件里捆绑***等,内网将面临又一次的***。