【NISP一级】6.2 口令破解攻击
【NISP一级】6.2 口令破解攻击
1. 口令安全问题
1.1 什么是口令
- 身份验证的机制,俗称“密码”,对应英文单词为password
- 成本较低,得到广泛的应用
- 信息安全中的“密码”对应的单词为“cryptography”,指一种对信息进行变换以保护信息安全的技术
1.2典型弱口令
- 应用中最常见的安全问题,用户会使用一些较方便记忆的、简单的组合作为口令
1.3 若口令类型
- 简单的数字,123456、666666、123123等
- 键盘上按键连续的字母:qqazwsx、qwerty等
- 常见英文单词或短语:password、iloveyou等
1.4 口令安全问题——弱口令
- 用户相关的信息作为口令的情况也属于弱口令
- 例如:手机号作为口令,使用名字拼音、生日或纪念日日的组合
- 微博中的孩子的生日信息
- 如果使用孩子生日作为口令
1.5 口令安全问题——默认口令
- 被认为是若弱口令的一种
- 类型
- 默认管理员口令:应用或系统在出厂时候对管理账号都会设置一个默认的口令,使用默认口令不更改没有任何安全性可言
- 用户默认口令:系统会为每个用户账号设置默认的j口令
- 案例
- 高考考生填报志愿的账号口令身份证后六位
1.6口令安全问题——机制缺陷
- 口令不安全传输
- 协议缺乏安全机制,明文传输数据
- 不安全的存储
- 未尽加密存储的口令
2. 口令破解攻击
2.1 口令破解攻击——远程暴力破解
2.1.1 针对登陆口令的攻击
- 利用软件反复多次模拟身份验证行为过程以猜测出登陆口令的一种攻击
- 古老但一直有效的攻击方法
2.1.2 防御措施
- 设置“安全”的口令
- 限制登陆输入错误口令次数
2.2 口令破解攻击——口令字典
- 根据用户口令设置规则构建常用口令字典
- 字典中收集了用户常用密码
- 有效提高密码破解效率
- 口令字典内容容
- 弱口令
- 社工口令
- 泄露口令数据库
2.3 口令破解攻击——木马窃取
2.3.1 木马窃取口令
- 屏幕快照木马:从输入框中获取口令
- 键盘记录木马:通过获取击键记录获得口令
2.3.2 防御措施
- 使用安全输入控件
- 软键盘,对抗击键记录
- 随机排列字符,对抗屏幕截屏重现
2.4 口令破解攻击——网络钓鱼
- 伪造受信任网站,诱骗用户输入用户名/口令
2.5 口令破解攻击——网络嗅探
- 利用TCP/IP缺乏安全机制获取口令
2.6 口令破解攻击——彩虹表
- 密码字典
- 根据一定规则生成的口令列表
- 彩虹表
- 彩虹表的前身:预见计算的散列链
- 是破解资源(时间、空间)的平衡
3. 口令破解安全防护
3.1 口令破解防护——账号锁定
- 设置账户锁定策略,对输入错误达到一定次数的账户进行锁定
- 账户锁定时间
- 账户锁定阈值
- 重置账户锁定计数器
3.2 口令破解防护——验证码
- 增加随机验证(对抗机器识别)
- 变形
- 干扰
- 滑块
- 图像识别
3.3 口令破解防护——模块
- 目前安全验证信息中常用的一种方式
- 根据鼠标操作、滑动轨迹、计算拖动速度等方式来判断是否是人为操作。
3.4 口令破解防护——短信验证码
- 登陆时应用将一个验证码发送到该账户预留的手机号上进行验证
- 双因素认证:实体所知(用户名/口令)、实体所有(手机号)
4. 口令使用安全管理
4.1 设置“好”的口令
4.1.1 好的口令特点
- 自己容易记:口令应有一定的规律,并且规律方便记忆
- 别人不好才:规律是攻击者无法猜出或者难以想想到的
4.1.2 范例:程序员的口令
- 2qrs9cs,Y7zzzmm(两情若是久长时,尤其在朝朝暮)
- Lyp82nlf(来一瓶82年拉菲)
4.1.3 “好”的口令设置
- 记忆一段话,用于设置口令
- 规律口令+随机设置(根据目标系统设置)
- Lxf123@TxqqLxf(陆小凤123@qq)
- 123@ALdd(陆小凤123@阿里钉钉)
4.2 口令使用习惯
- 不要将口令卸载纸上随意防止
- 不要将口令存放在未经防护的文件中
- 口令分级分类,重要的账户口令不要与普通的账户口令相同
- 输入口令时关注周边环境安全
- 定期更改口令
【NISP一级】6.2 口令破解攻击相关推荐
- NISP一级考试相关知识点
NISP一级不难,你报名交完钱买了那个相关课程之后就刷题就行. 相关知识点: 1.信息:信息就是数据或事件 2.信息安全: 内因:内因方面主要是信息系统复杂性导致漏洞的存在不可避免,换句话说,漏洞是一 ...
- 【NISP一级】2.2 身份鉴别与访问控制
[NISP一级]2.2 身份鉴别与访问控制 笔记(主栏) 1. 身份鉴别基础 1.1 标识 1.1.1基本概念 实体身份的一种计算机表达 每个实体与计算机内部的一个身份表达绑定 信息系统在执行操作时, ...
- NISP一级考试题库
NISP一级考试题库,本人以过考试,因为资料是图片转过来得,所有有得地方有乱码,不喜勿喷,仅送给有需要得人. 与计算机硬件关系最密切的软件是( ). A.编译程序 B.数据库管理程序 C.游戏程序 ...
- 国家信息安全水平考试NISP一级模拟题(02)
试题总分:100分,时间:100分钟 100分 NISP一级单选题(最新) (每小题2分,本题共50个小题,共100分,60分及格) 1 2分 OSI模型中位于最顶层并向应用程序提供服务的是( ) A ...
- 国家信息安全水平考试NISP一级模拟题(04)
试题总分:100分,时间:100分钟 100分 NISP一级单选题(最新) (每小题2分,本题共50个小题,共100分,60分及格) 1 2分 以下不属于Session攻击常用防护措施的是( ) A. ...
- 2020网络安全NISP一级(模拟题二)
2020国家信息安全水平考试NISP一级(模拟题二) NISP一级单选题(最新) (每小题2分,本题共50个小题,共100分,60分及格) OSI模型中位于最顶层并向应用程序提供服务的是( ) A.网 ...
- 全国大学生网络安全精英赛初赛(nisp一级)
网络方面. 1.FTP端口号21 Sftp指的是ssh文件传输协议默认端口号22. http端口号80 Https端口号443(http+ssl)(浏览器和服务器之间的加密协议) 发送邮件时,SMTP ...
- 【NISP一级】4.1 Windows终端安全
[NISP一级]4.1 Windows终端安全 1. 安全安装 选择合适的版本 商业版本:家庭版.专业版.专业工作站版.企业版 特殊版本:教育版.企业版LTSC等 安装源 官方渠道&可靠镜像( ...
- 国家信息安全水平考试(NISP一级)考试题库6
共50题 合计100分 1. 僵尸网络的最大危害是,攻击者可以利用网络发起() (单选题,2分) A. 入侵攻击 B. DDOS攻击 C. 网络监听 D. 心理攻击 2. 通过分布式网络来扩散特定的信 ...
最新文章
- Swift之父退出核心团队,自曝原因:环境有毒!
- maven 学习---Maven添加远程仓库
- 循序渐进db2 第3版_「图书推荐」焊接工程师手册第3版
- 【clickhouse】clickhouse INSERT INTO 语句
- php mysql 网站_实验六:MYSQL+PHP的网站搭建
- 序列上问题(逆元+整数快速幂)
- .Net Core + NGINX跳转登录时端口丢失
- Ubuntu使用tcpdump工具
- react学习笔记10:显示隐藏效果和tab切换效果
- Java 实验五 王奕开
- python scipy库函数solve用法_python scipy linalg.solve_banded用法及代码示例
- jedate change事件监控,使用jedate无法使用change事件
- 电子设计从零开始_第二版(1)
- 【状压DP】状态压缩动态规划入门超详解
- 如何用VBA制作工资条
- SLAM④----李群与李代数
- Renesas:定时器输入捕获
- 【 ST-LINK\ ST-LINK Utility下载,烧录,批处理操作\命令行】
- C/C++公交路线自动化选择系统
- element-ui dialog组件添加可拖拽位置 可拖拽宽高