盗墓笔记,风凌天下

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

如何通過密碼管理策略來防范密碼破解

問：黑客是如何破解操作系統(tǒng)密碼的？我如何在我的企業(yè)里防范密碼破解行為的發(fā)生？

答：黑客（或稱為未經(jīng)授權(quán)的用戶）有一系列的方式來破解操作系統(tǒng)密碼。當(dāng)然首先要數(shù)暴利攻擊。在這種情況下，他或她獲取了屏幕系統(tǒng)的認(rèn)證并經(jīng)過反復(fù)的算術(shù)實(shí)驗(yàn)和錯(cuò)誤的洗禮最終得到了密碼（記?。何唇?jīng)授權(quán)的用戶同樣需要和密碼配合使用的登錄名稱）。如果系統(tǒng)管理員使用的是容易被猜到的弱密碼，又或者系統(tǒng)管理員沒有改變默認(rèn)密碼（這包括廠商在安裝過程中使用的默認(rèn)密碼），那么這將無疑大大地簡(jiǎn)化了入侵者的操作。無論你是否相信，有些時(shí)候用戶的確會(huì)將密碼寫下來（一般會(huì)放在他們的鍵盤下或放在他們桌子的最上層抽屜里）。

有些系統(tǒng)需要接受廠商遠(yuǎn)程訪問以尋求解決方案和實(shí)施更新，在這些系統(tǒng)中同樣可能會(huì)使用默認(rèn)的或常用的密碼。有時(shí)，IT員工會(huì)和不同權(quán)限的用戶共享某一密碼，或者在不同的系統(tǒng)下使用相同的密碼。有時(shí)密碼會(huì)以固定值的形式寫死在基礎(chǔ)軟件中，這有可能會(huì)遭到攻擊（例如目錄同步腳本）。最后，在這樣一個(gè)經(jīng)濟(jì)低迷的時(shí)期，在管理員和其他權(quán)限的用戶（像軟件開發(fā)者）離職之后，如果密碼一直不變的話，他們還是同樣能夠訪問企業(yè)內(nèi)部的系統(tǒng)。這些員工對(duì)組織內(nèi)部的運(yùn)作有一個(gè)很清晰的認(rèn)識(shí)，有可能會(huì)加入針對(duì)該組織的惡意攻擊活動(dòng)。又或者在某些情況下會(huì)將敏感數(shù)據(jù)（例如客戶賬戶信息）復(fù)制下來賣出去或者在將來的欺詐活動(dòng)中加以利用。

那么應(yīng)采取怎樣的策略來阻止操作系統(tǒng)密碼的破解呢？答案集中在安全領(lǐng)域的三個(gè)方面：流程、員工和技術(shù)。保護(hù)系統(tǒng)密碼的策略包括：

對(duì)于流程來說（例如政策和進(jìn)程）：

改變每個(gè)新的和現(xiàn)有系統(tǒng)中的所有默認(rèn)密碼。
不要讓特權(quán)用戶賬戶在不同的系統(tǒng)中使用相同的密碼。
經(jīng)常改變密碼（大多數(shù)的組織會(huì)在存有敏感數(shù)據(jù)的系統(tǒng)上設(shè)置為每三十天改變一次密碼，而發(fā)生人事變動(dòng)的時(shí)候也會(huì)改變密碼）。
嚴(yán)格限定管理訪問的權(quán)限，只將權(quán)限授予那些真正需要訪問的人。
千萬不要將系統(tǒng)的密碼寫下來（任何密碼都如此）。
不要讓軟件腳本包含系統(tǒng)級(jí)別的賬戶或密碼信息。

對(duì)于員工來說：

為開發(fā)人員創(chuàng)建各自的密碼，按照機(jī)能給他們分配權(quán)限（開發(fā)數(shù)據(jù)庫的員工不需要用于定義內(nèi)容領(lǐng)域的根權(quán)限——即使他們會(huì)對(duì)這一限定產(chǎn)生爭(zhēng)執(zhí)）。
根據(jù)員工的工作情況維護(hù)用戶權(quán)限。（當(dāng)某員工加入了某一特定的項(xiàng)目團(tuán)隊(duì)，你需要基于其角色來創(chuàng)建新的賬戶。當(dāng)他或她的工作發(fā)生變更，這些權(quán)限將不再需要用到時(shí)你需要改變或清除之前為其設(shè)置的權(quán)限。而如果他或她辭職了，你還需要及時(shí)清除所有的權(quán)限。）

對(duì)于技術(shù)來說：

在允許的情況下，將嘗試登錄認(rèn)證失敗的次數(shù)設(shè)置為一個(gè)特定的值，當(dāng)超過規(guī)定的次數(shù)時(shí)將自動(dòng)關(guān)閉該賬戶。
如果系統(tǒng)中包含高度敏感的信息并且需要最少的系統(tǒng)訪問量，你可以考慮在系統(tǒng)級(jí)別的密碼中使用多因素或基于硬件的令牌，并在加密和密匙下保護(hù)好他們。注意：一些公司需要對(duì)所有訪問敏感信息的員工設(shè)置多因素認(rèn)證機(jī)制。
使用生成的密碼或短語（例如“Philadelphia Phillies是社團(tuán)中最好的棒球隊(duì)”）并且不要局限于字母數(shù)字符號(hào)。盡可能使用標(biāo)志來代替用數(shù)字組成的八位字符型密碼。
關(guān)閉或斷開任何試圖訪問系統(tǒng)的后門，除非有特殊需要（例如調(diào)制解調(diào)器、Citrix訪問等等）。
將敏感系統(tǒng)置于核心業(yè)務(wù)和通信領(lǐng)域之外，并提供物理隔離（給櫥柜、機(jī)房、辦公司上鎖等）。
在系統(tǒng)恢復(fù)時(shí)讓所有的備份媒介受到保護(hù)并生效。（作為系統(tǒng)恢復(fù)的一部分，舊的賬戶會(huì)被復(fù)原，所以需要確保舊的數(shù)據(jù)中沒有包含舊的認(rèn)證信息。如果真的出現(xiàn)舊的認(rèn)證信息，你需要對(duì)其做及時(shí)地更改或刪除操作。）

結(jié)合應(yīng)有的常識(shí)和安全團(tuán)隊(duì)的指導(dǎo)連同IT部門的協(xié)作，將有助于你找到最佳的方式來保護(hù)你的系統(tǒng)密碼安全。

【編輯推薦】

如何進(jìn)行密碼破解
密碼規(guī)則：25年來駭客總在用四種方法破解密碼
破解玄機(jī)：安全性與密碼相對(duì)強(qiáng)度的暗戰(zhàn)

本文標(biāo)題：如何通過密碼管理策略來防范密碼破解
當(dāng)前URL：http://www.fisionsoft.com.cn/article/dpjisdj.html

新聞中心

其他資訊