本文共 1606 字,大约阅读时间需要 5 分钟。
学习密码安全基础过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。
1.暴力破解:穷举法尝试所有组合,虽然看起来笨拙,但往往是最有效的方法。
2.字典攻击:利用有关涉及密码的字典进行攻击,字典跑完,攻击也就结束了,攻击效果依赖字典的好坏。
3.密码猜测:利用常用密码(弱口令)进行猜测,痕迹可以在审查日志中看到。
例如:123456、987654321、abcdef、你的生日、你的手机号等。密码猜测也是Shodan等搜索引擎进行密码攻击的手段之一。
4.彩虹表攻击:对密码的哈希值进行攻击,虽然哈希值不可逆,但是可以通过哈希算法,建立彩虹表并进行比对。需要提前生成散列,可以节省密码攻击的时间。
5.社会工程学:很简单,就是“骗”“偷”。假冒客服套取密码、肩窥、垃圾搜寻······
所以黑客不见得是坐在电脑前的,也有可能在垃圾桶旁(狗头)。
6.间谍软件:一种被秘密安装的恶意软件,目的是监控并报告系统使用情况,并收集数据,比如用户名和密码。
7.窃听/嗅探攻击:利用嗅探工具、抓包工具进行数据的窃取,甚至获取到网络的使用权,比如hattrack、nikto等。
行内称这种人为:脚本小子。哈哈哈哈·······
当网站的密码明文传输方式,网站登录页面里没有任何验证,只有用户名密码,没有验证码环节,以及用户登录错误提示都没有的,这样可以在服务器的支持下利用上线的一种或者几种进行强力的破解,比如暴力破解、字典攻击,密码猜测和嗅探攻击,密码一般会在短时间内被破解出来。
1.字典生成工具(开源):Crunch,CUPP
2.密码破解:Hydra, Medusa, Aircrack-ng
3.攻击集成操作系统平台:kali(linux)
kali太香了
4.钓鱼邮件:利用社会工程学和嗅探工具或者间谍软件进行攻击。
1.密码攻击基本防御策略:
2.密码安全风险行为:
威胁主体(黑客)利用漏洞(例如弱口令、嗅探工具)发动攻击,造成损失的可能性就是风险。
1.外部风险
2.内部风险
1.风险4种处理方式
风险接受
风险规避
风险减小
风险转移
例如买保险
2.风险控制手段
根据目的可以分为:
预防性控制
检测性控制
修复性控制
根据功能可以分为:
1.强密码策略
提高密码复杂度
至少八位,采用数字加字母的组合方式,字母大小写区分,至少包含一个特殊字符。
限制密码最长使用期限
定时修改密码
限制密码历史
比如规定密码历史为三次,这次的密码不允许和前三次的密码相同
限制密码最短使用限制
防止用户突破密码历史
2.组策略
执行密码长度和密码复杂度的要求
执行账户的锁定阈值和锁定时长的要求
例如:密码输入错误三次,锁定账户24小时
使用加密存储密码
执行Kerberos登陆限制和票据生命周期
审计账户管理事件
转载地址:http://rfazi.baihongyu.com/