密码安全基础
学习密码安全基础过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。
一.常见密码攻击手段
1.暴力破解:穷举法尝试所有组合,虽然看起来笨拙,但往往是最有效的方法。
2.字典攻击:利用有关涉及密码的字典进行攻击,字典跑完,攻击也就结束了,攻击效果依赖字典的好坏。
3.密码猜测:利用常用密码(弱口令)进行猜测,痕迹可以在审查日志中看到。
例如:123456、987654321、abcdef、你的生日、你的手机号等。密码猜测也是Shodan等搜索引擎进行密码攻击的手段之一。
4.彩虹表攻击:对密码的哈希值进行攻击,虽然哈希值不可逆,但是可以通过哈希算法,建立彩虹表并进行比对。需要提前生成散列,可以节省密码攻击的时间。
5.社会工程学:很简单,就是“骗”“偷”。假冒客服套取密码、肩窥、垃圾搜寻······
所以黑客不见得是坐在电脑前的,也有可能在垃圾桶旁(狗头)。
6.间谍软件:一种被秘密安装的恶意软件,目的是监控并报告系统使用情况,并收集数据,比如用户名和密码。
7.窃听/嗅探攻击:利用嗅探工具、抓包工具进行数据的窃取,甚至获取到网络的使用权,比如hattrack、nikto等。
行内称这种人为:脚本小子。哈哈哈哈·······
当网站的密码明文传输方式,网站登录页面里没有任何验证,只有用户名密码,没有验证码环节,以及用户登录错误提示都没有的,这样可以在服务器的支持下利用上线的一种或者几种进行强力的破解,比如暴力破解、字典攻击,密码猜测和嗅探攻击,密码一般会在短时间内被破解出来。
二.常见密码攻击工具
1.字典生成工具(开源):Crunch,CUPP
2.密码破解:Hydra, Medusa, Aircrack-ng
3.攻击集成操作系统平台:kali(linux)
kali太香了
4.钓鱼邮件:利用社会工程学和嗅探工具或者间谍软件进行攻击。
三.常见密码安全风险行为
1.密码攻击基本防御策略:
- 同时采用除密码外的其他验证方式
- 密码不能过于简单易测
- 用户安全意识不足
- 没有采取强口令(强密码)策略
- 建立异常登陆监测和报警机制
2.密码安全风险行为:
- 采用弱口令(弱密码)
- 轻信他人,透露密码或者找回密码方式与方法,缺乏安全意识
- 密码找回方法太过简单
- 密码从不修改
- 社交账号密码和公司账号或者机密账号密码相同
- 将密码记录在随手可见的地方(比如便签条)
- 输入密码不注意环境,不注意遮挡
四.密码安全风险
威胁主体(黑客)利用漏洞(例如弱口令、嗅探工具)发动攻击,造成损失的可能性就是风险。
1.外部风险
- 冒名登陆
- 客户信息泄露造成信誉风险、监管风险
- 机要信息泄露造成财产风险、监管风险
2.内部风险
- 后台密码被攻破,被植入webshell
- 被窃取服务器最高权限
- 服务器在不知情的情况下为别人挖矿、发送垃圾邮件
- 服务器可能被当做Dos攻击的傀儡
- 内网可能被作为攻击其他服务器的跳板
- 内网数据被监听,没有任何秘密可言
五.密码安全风险处置
1.风险4种处理方式
-
风险接受
-
风险规避
-
风险减小
-
风险转移
例如买保险
2.风险控制手段
根据目的可以分为:
-
预防性控制
-
检测性控制
-
修复性控制
根据功能可以分为:
- 物理性控制
- 逻辑性控制/技术性控制
- 管理性控制/行政性控制
六.密码安全策略
1.强密码策略
-
提高密码复杂度
至少八位,采用数字加字母的组合方式,字母大小写区分,至少包含一个特殊字符。
-
限制密码最长使用期限
定时修改密码
-
限制密码历史
比如规定密码历史为三次,这次的密码不允许和前三次的密码相同
-
限制密码最短使用限制
防止用户突破密码历史
2.组策略
-
执行密码长度和密码复杂度的要求
-
执行账户的锁定阈值和锁定时长的要求
例如:密码输入错误三次,锁定账户24小时
-
使用加密存储密码
-
执行Kerberos登陆限制和票据生命周期
-
审计账户管理事件