4.暴力破解对口令的冲击
当其它道路行不通的时候,***者就会尝试暴力破解了,对于弱口令来说,暴力破解相对较容易;相反那些设置了很多策略的强口令就需要很完备的字典,性能先进的硬件和大量的时间来支持,基本上就很难破解了。具体破解的原理和过程可以参考安天365团队成员simeon的“使用winlogonhack获取系统密码”一文和纸片人的“彩虹表破解XP系统用户密码”一文,详见网站 [url]www.antian365.com[/url]
(二)系统密码安全设置策略
1.通过组策略来加固密码设置
在“开始”→“运行”窗口中输入“gpedit.msc”并回车就可以打开“组策略”设置窗口,如图1所示。
 
图1打开组策略设置窗口
在“组策略”窗口的左侧展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”在右边窗格中就会出现一系列的密码设置项,经过这里的配置,可以建立一个完备的密码策略,使密码得到最大限度的保护。如图2所示。

 
图2修改密码缺省策略
(1)密码必须符合复杂性要求
如果启用了这个策略,则在设置和更改一个密码时,系统将会按照下面的规则检查密码是否有效:
A.密码不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分。
B.至少有六个字符长。
C.包含以下四类字符中的三类字符:英文大写字母(A 到 Z);英文小写字母(a 到 z);10 个基本数字(0 到 9);非字母字符(例如 !、$、#、%)。
在更改或创建密码时将执行复杂性要求,启用了这个策略,相信你的密码就会比较安全了,因为系统会强制你使用这种安全性高的密码。如果你在创建或修改密码时没有达到这个要求,系统会给出提示并要求重新输入符合要求的安全密码。
(2) 密码长度最小值
此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间,或者将字符数设置为“ 0”以确定不需要密码,这是系统的默认值,而从安全角度来考虑,允许不需要密码的用户存在是非常危险的。建议密码长度不小于6位。
(3) 密码最长存留期
此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期,或者将天数设置为 0,指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
注意:安全最佳操作是将密码设置为 30 到 90 天后过期,具体取决于您的环境。这样,***者用来破解用户密码以及访问网络资源的时间将受到限制。