破解密码是获取Active Directory帐户权限最简单的方法,多年来,黑客总是能够轻松地破解Microsoft Active Directory用户的密码。
大多数密码破解工具使用相同的套路作为获取密码的基础。首先,攻击者必须获取密码哈希。密码哈希是一种数学算法,用于将密码转换为字母数字字符串,而字母数字字符串不能恢复为密码。
此哈希是由操作系统生成的,哈希存储在Active Directory数据库中,当用户登录时,也存储在客户端计算机上的安全数据库中。当用户获得对整个网络资源的访问权限时,需要哈希对用户进行身份验证。
攻击者可以从Active Directory数据库、本地客户端计算机或身份验证数据包获取哈希。其次,选择一组字符,从中计算散列。这组字符可以从字典中选择,也可以通过指定参数(如字符、最小密码长度和最大密码长度)来选择。最后,将第一步得到的散列与第二步生成的散列进行比较。如果散列匹配,则密码称为生成匹配散列的字符集。
近年来攻击类型主要有以下几种:
字典攻击
字典攻击将字典文件中的一组单词列表作为黑客攻击的基础。黑客词典通常使用普通语言词典和使用字符替换的附加词。
暴力攻击
暴力攻击使用一个逻辑字符序列来开发散列,然后将其与获得的密码散列进行比较。暴力攻击不是使用字典攻击之类的单词列表,而是使用每个可能的字符组合,并使用指定长度的字符。
彩虹表攻击
彩虹表攻击不是每次都花时间生成相同的散列, 而是缓存散列。现在,不需要花时间来开发散列,只需将散列表与捕获的散列进行简单的比较。
了解这些模式后,攻击者可以利用这些模式进行攻击,从而减少破解密码所需的时间。
密码策略
操作系统的密码策略包含用户在创建密码时必须遵守的条件。例如,密码必须具有最小字符数和最大字符数。密码策略的组成应有助于防御已知的密码攻击以及其散列的漏洞。
大多数密码策略解决方案和无法足够的控制来防止已知密码攻击,原因通常是终端用户的限制。长、强、复杂的密码不是大多数用户每天都愿意和能够处理的。作为一种妥协,公司允许用户输入短的、弱的和有些复杂的密码。这些密码通常很容易破解。
ADSelfService Plus旨在防止最新的密码攻击,并使用您当前的Active Directory OU设计来实施。ADSelfService Plus对Microsoft密码策略解决方案进行了增强,允许在单个Active Directory域中增强不同的密码策略。密码策略增强功能可与Windows密码策略设置无缝配合使用,补充密码策略短板。以下是ADSelfService Plus有关Active Directory用户密码的功能:
针对不同的域中不同的密码策略增强功能
提供通过OU中的组成员身份或用户位置实施
可以导入词典来否定这些单词作为密码的使用
密码模式控制(增量、省略特殊字符、回文等)
密码策略通过ADSelfService Plus的Web门户和移动应用程序实施
密码策略通过Ctrl+Alt+DEL更改密码屏幕强制执行
ManageEngine ADSelfService Plus中的密码模式控件为用户提供安全性,防止使用常见的密码模式,从而防止常见的密码攻击。能够在多个域中通过用户组成员或OU分发多个密码策略。还具备防止字典和密码模式攻击的控制功能,以帮助减少针对弱密码的攻击。ADSelfService Plus是一款针对任何Active Directory的易于实施、易于配置、易于管理的安全解决方案。
扫一扫
3012
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
