| 出版日期:2001-01-11 总期号:989 本年期号:04 |
|
 |
把好安全第一关
口令,或者叫用户密码,已经成为现代人生活中不可缺少的一部分,银行存折、电子邮件、网络聊天、计算机开机等,都需要输入用户的口令。口令的作用是为了证明用户身份的合法性,以便获得相应的权限、个人数据和所需环境等,同时避免非法用户冒充使用。 可以说口令是保护系统安全的第一道关口。在很多情况下,获得系统的用户口令就是攻击的重要目标,因为这时候攻击者就已经可以利用用户的权限窃取包括用户个人信息在内的各种数据,当然也可以在一定程度上冒充用户进行欺骗、陷害等活动;在其他的情况下,攻击者可以通过获得某个用户口令,从而进一步设法获得对系统的高级权限,达到控制整个系统,为所欲为的目的。因此,用户口令的安全不仅关系到用户自身的安全,在很多情况下也直接关系到为用户提供服务的整个系统的安全。 如果选取和使用比较科学的话,用户口令并不是像很多人传言的那样容易地被攻破。 首先,绝对不可以不设口令,在现实中我们确实发现过系统的管理员账户口令为空的情况,对这种无异于“自杀”的行为,我实在是无话可讲;其次,口令绝对不可以和用户名一样,或者仅仅由数字组成,这样的口令是比较容易被攻破的,而不幸的是确实有不少用户就是这样选择口令的;第三,口令中要有足够多的不同的字母或数字,并且不要使用现成的单词,因为在很多破译用户口令的工具里,这样的口令将被“优先”尝试;第四,口令的长度不应该少于7位,如果有大小写或者空格、逗号等特殊字符更好,一个“没有规律”的7位口令,其可能的取值有957=69833729609375(69万亿)种,想要靠计算机“蛮力”猜测,也是比较困难的。 但是完全没有规律的口令如果连用户自己都记不住也不行,总不能因噎废食嘛,于是一些用户把口令写在显眼的地方,或是存到计算机里(这包括一些应用程序提供的“记住口令”的功能),这些都是不好的习惯,前者的危险自不必说,好比是锁了门不拔钥匙;后者的危险来自于计算机本身,存在计算机中的口令很容易被窃取,比如特洛伊木马、主页或者电子邮件中嵌入的恶意代码等。比较好的办法还是找一个对你自己有规律但是对别人没有规律的口令,比如以一句常用语在心里说的话、勉励自己的话、对自己有纪念意义的话等的缩写为基础,做一些变更(加入特殊字符和数字等),就可以得到一个好口令。当然,任何一个口令都不应该长期使用,因为它依然有可能被无意间泄漏出去。 做好了这些,是不是就万无一失了呢?不是,因为木马或者网络窃听者还有可能通过记录用户的键盘输入或者在网络中传递的数据来获得口令,不过这些问题就不是我们这里所要解决的了。记住,如果把好这个安全第一关,您的安全水平就可以得到很大提高。 |
||||||||||||||
