计算机口令安全
实验四、一次性口令设计 计算机系统与网络安全技术课件
= xxx.exe;例如:Win2000中注册表,Current Version/run = xxx.exe 提示界面:仿Windows界面 交互方式:键盘输入 设计文档:给出设计说明(含公式、算法,随机 数产生法,函数调用和参数传递方式)
2020/10/28
【实验注意事项】
1、口令设计 一次性口令设计必须注意以下问题:
输入密码(口令)存放问题与比较方式 输入口令是否加密和加密方式 算法有无二义性 算法是否容易被破译 重复输入错误处理方法
2020/10/28
【实验注意事项】(续)
2、口令程序的后台运行 (1) 熟悉Win注册表或文件 (2) 将口令程序填写入注册表中相关表项
2020/10/28
【实验报告】
(1)提交所有程序代码 (2)提交设计说明
2020/10/28
【相关知识点】
1、一次性口令设计
主要设计思想是:设计一种动态生成口令的算法, 使生成的口令只能使用一次,当再次使用时,该口令无效。
2、 算法设计
(1)数学计算式 (2)字符串组合式
2020/10/28
【评分要求】100分
程序运行正常(不死机)40分 密码输入正常10分 一次性口令功能正常20分 界面设计良好10分 有设计文档10分 有新增功能10分
2020/10/28
实验四一次性口令设计
2020/10/28
【实验目的】
了解口令机制在系统安全中的重要意义。 掌握动态生成一次性口令的程序设计方法。
2020/10/28
【实验设备与环境】
(1) MS Windows系统平台 (2) 设计语言:不限
计算机安全
计算机安全单项选择题1、计算机安全的属性不包含。
A:保密性B:完好性C:不行狡辩性和可用性D:数据的合理性答案:D2、计算机安全属性不包含。
A:保密性B:完好性C:可用性服务和可审性D:语义正确性答案:D3、获取受权的实体需要时就能获取资源和获取相应的服务,这一属性指的是A:保密性B:完好性C:可用性D:靠谱性答案:C4、系统在规定条件下和规准时间内达成规定的功能,这一属性指的是A:保密性B:完好性C:可用性D:靠谱性答案:D5、信息不被有时或蓄意地删除、改正、假造、乱序、重放、插入等损坏的属性指的是A:保密性B:完好性C:可用性D:靠谱性答案:B6、计算机安全不包含。
A:实体安全B:操作安全C:系统安全D:信息安全答案:B7、计算机病毒的流传不可以够经过来流传。
A:软盘、硬盘B:U盘C:电子邮电D:CPU答案:D8、计算机病毒属于范围。
A:硬件与软件B:硬件C:软件D:微生物答案:C9、以下不属于保护网络安全的举措的是A:加密技术B:防火墙C:设定用户权限D:设计个性化的主页答案:D10、用某种方法假装信息以隐蔽它的内容的过程称为A:信息B:密文C:解密D:加密答案:D11、接见控制依据实现技术不一样,可分为三种,它不包含A:鉴于角色的接见控制B:自由接见控制C:自主接见控制D:强迫接见控制答案:B12、接见控制依据应用环境不一样,可分为三种,它不包含A:数据库接见控制B:主机、操作系统接见控制C:网络接见控制D:应用程序接见控制答案:A13、实现信息安全最基本、最中心的技术是。
A:身份认证技术B:密码技术C:接见控制技术D:防病毒技术答案:B14、信息认证的内容不包含。
A:证明信息发送者和接收者的真切性B:信息内容能否曾遇到有时或存心的窜改C:信息语义的正确性D:信息的序号和时间答案:C15、保护计算机网络免受外面的攻击所采纳的常用技术称为A:网络的容错技术B:网络的防火墙技术C:病毒的防治技术D:网络信息加密技术答案:B16、接见控制不包含。
公司计算机系统用户口令(密码)安全管理规定
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。
本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。
计算机系统用户口令主要为静态口令、动态口令等。
静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。
动态口令一般是指根据动态机制生成的、一次有效的口令。
计算机系统用户口令主要包括:主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。
选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
关于计算机网络口令安全的探讨
关于计算机网络口令安全的探讨朱满林王少龙石成英摘要口令是访问控制简单而有效的方法,也是现代黑客主要攻击的对象之一,口令一旦被识破就不能提供任何安全,所以科学的设计维护与管理口令是计算机网络安全所研究的重要课题之一.本文介绍了计算机网络口令使用中存在的主要问题,提出了口令设计的一种新方法,并对由该方法所产生的计算机网络1:2令的特性作了分析.一、引言口令是计算机网络安全中目前应用最广、使用最筒便的一种手段,也是现代黑客主要攻击的对象之一,所以对计算机网络安全来讲,科学的设计、维护与管理计算机网络口令是非常重要的。
然而在网络口令的使用中还存在着许多问题,主要有以下三个方面:第一.许多用户经常会使用一些易被同事或其他熟人猜出的口令,如用户的电话号码、姓名或名字缩写以及喜欢的电视节目和书名等等;第二,很多人喜欢用英文单词作为口令,口令字典收集了大量的口令,有意义的英语单词在口令字典出现的概率比较大。
如果入侵者可以读取Password文件,他们会将口令文件传输到另外的机器上并用“猜口令程序”来破解口令;第三,有些口令虽是基于单向函数而设计,但口令之间不是相互独立的,窃听者如果截获一些口令,他们就会对这些口令进行处理并弥合成曲线图进而猜测出其他口令。
为了克服计算机坶络口令使用中所存在的问题,满足军网的特殊需要,本文基于乘加同余方法,科学的设计出符合各种网络系统要求的口令序列。
乘加同余方法是蒙特卡罗方法中产生伪随机数的主要方法之一,豢特卡罗方法是以概率统计理论为基础的一种计算方法,用以逼真地描述具有随机性质的事物的特点及物理实验过程,解决一般数值方法难以解决的问题。
二、口令的设计与实现现代黑客通常通过网络监听及猜测来获取网上用户的帐号和密码,因此从安全角度来讲,网络中各用户口令晟理想的应该是具有单向函数性质的相互独立的随机数序列.而蒙特卡罗模拟的基本工具就是随机数序列。
在计算机上可以用物理方法来产生随机数.但是设备价格昂贵.不能重复,使用不便。
公司计算机系统用户口令(密码)安全管理规定
公司计算机系统用户口令(密码)安全管理规定第一章总则第一条为加强公司计算机系统用户口令(密码)的安全管理,提高计算机系统用户口令(密码)安全管理规范化、制度化水平,完善信息安全管理体系,特制定本规定。
第二条公司、各下属子公司的计算机系统用户口令(密码)的安全管理适用本规定。
本规定不包括应用系统客户口令管理和用于保护文件共享等非登录计算机系统用户的口令管理。
第三条本规定所称计算机系统用户口令(密码)是指在登录计算机系统过程中,用于验证用户身份的字符串,以下简称计算机系统用户口令。
计算机系统用户口令主要为静态口令、动态口令等。
静态口令一般是指在一段时间内有效,需要用户记忆保管的口令。
动态口令一般是指根据动态机制生成的、一次有效的口令。
计算机系统用户口令主要包括:主机系统(数据库系统)、网络设备、安全设备等系统用户口令;前端计算机系统用户口令;应用系统用户口令;桌面计算机系统用户口令。
第四条计算机系统用户口令的安全管理遵照统一规范、重在意识、技术控制与管理措施相结合的原则。
第五条计算机系统用户口令持有人应保证口令的保密性,不应将口令记录在未妥善保管的笔记本以及其他纸质介质中(密码信封除外),严禁将口令放置在办公桌面或贴在计算机机箱、终端屏幕上,同时严禁将计算机系统用户口令借给他人使用,任何情况下不应泄漏计算机系统用户口令,一旦发现或怀疑计算机系统用户口令泄漏,应立即更换。
第六条计算机系统用户口令必须加密存储计算机系统中,严禁在网络上明文传输计算机系统用户口令,在用户输入口令时,严禁在屏幕上显示口令明文,严禁计算机信息系统输出口令明文(密码信封除外)。
第七条计算机系统用户口令持有人应保证口令具有较高安全性。
选择使用口令安全强度较高的口令,不应使用简单的代码和标记,禁止使用重复数字、生日、电话号码、字典单词等容易破译的计算机系统用户口令。
第八条任何人不得利用盗取、猜测、窥视、破解等非法手段获取他人计算机系统用户口令,盗用他人访问权限,威胁信息系统安全。
计算机安全
计算机安全计算机安全是指保护计算机系统及其数据免于未经授权的访问、使用、披露、破坏、修改或者泄漏,并保证计算机系统的可靠性、完整性、可用性、保密性和可控性。
随着计算机技术的发展,网络安全问题越来越成为人们关注的焦点。
计算机和网络安全的威胁计算机和网络安全面临着多种威胁,包括病毒、木马、蠕虫、恶意软件、黑客攻击、社交工程攻击等。
病毒是自我复制的程序,由一点点代码组成,它会以用户不知道的方式进行自我复制,并感染到其他程序或文件中。
木马是一种另类的病毒,它会隐藏在其他程序中,一旦安装后,就会向黑客发送受感染计算机的机密信息。
蠕虫则是一种能够独立发送自己的程序,以网络和邮件为媒介传播。
恶意软件是指可以对计算机、网络以及其上应用程序造成破坏的软件,例如间谍软件、广告软件、下载附件等。
在黑客攻击中,黑客通过攻击计算机系统或网络,窃取敏感信息或造成巨大损失。
社交工程攻击是利用心理学和社交工程学原理,通过欺骗、诱骗实现窃取敏感信息的攻击。
计算机和网络安全保障的措施为了保障计算机和网络安全,应该采取以下措施:1.安装杀毒软件和防火墙安装杀毒软件和防火墙是保障计算机安全的最基本措施。
杀毒软件可以帮助用户扫描和删除病毒、木马、蠕虫等恶意软件,防火墙则可以对网络流量进行过滤,防止黑客攻击和恶意软件入侵。
2.加强密码安全意识密码安全意识是保护个人计算机和网络安全的重要环节。
用户应该经常更换密码,并且避免使用简单的密码,使用不同的密码来保护不同的账户。
此外,还应该避免将密码泄露给他人,并不要在公共场合输入密码。
3.升级操作系统和软件及时升级操作系统和软件是保障计算机安全的重要手段之一。
软件开发者会不断修补程序中的漏洞,升级程序可以修复漏洞,减少黑客攻击的风险。
4.备份重要数据备份数据是重要的安全措施之一,可防止数据的丢失。
用户可以将重要文件备份到云存储、外部硬盘等设备上,以备不时之需。
5.警惕社交工程攻击社交工程攻击需要提高警觉,要注意在认证用户的情况下打开邮件、文件和链接。
计算机口令大全
计算机口令大全(收集、整理)开始菜单中的“运行”是通向程序的快捷途径,输入特定的命令后,即可快速的打开Windows的大部分程序,熟练地运用它,将给我们的操作带来诸多便捷。
winver -----------------检查Windows版本wmimgmt.msc -------打开Windows管理体系结构(wmi)wupdmgr -------------- Windows更新程序wscript ----------------- Windows脚本宿主设置write -------------------写字板winmsd ----------------系统信息wiaacmgr --------------扫描仪和照相机向导winchat ----------------- XP自带局域网聊天mem.exe ---------------显示内存使用情况msconfig.exe ---------系统配置实用程序mplayer2 --------------简易widnows media playermspaint ----------------画图板mstsc ------------------远程桌面连接mplayer2 --------------媒体播放机magnify ---------------放大镜实用程序mmc -------------------打开控制台mobsync --------------同步命令dxdiag ----------------检查directx信息drwtsn32 -------------系统医生devmgmt.msc -------设备管理器dfrg.msc --------------磁盘碎片整理程序diskmgmt.msc -------磁盘管理实用程序dcomcnfg -------------打开系统组件服务ddeshare --------------打开dde共享设置dvdplay ---------------- DVD播放器net stop messenger停止信使服务net start messenger开始信使服务notepad --------------打开记事本nslookup -------------网络管理的工具向导ntbackup -------------系统备份和还原narrator --------------屏幕“讲述人”ntmsmgr.msc --------移动存储管理器ntmsoprq.msc -------移动存储管理员操作请求netstat -an ------------ (tc)命令检查接口syncapp --------------创建一个公文包sysedit ---------------系统配置编辑器sigverif --------------文件签名验证程序sndrec32 -------------录音机shrpubw --------------创建共享文件夹secpol.msc -----------本地安全策略syskey ----------------系统加密,一旦加密就不能解开,保护Windows xp系统的双重密码services.msc ---------本地服务设置sndvol32 -------------音量控制程序sfc.exe ---------------系统文件检查器sfc /scannow --------- Windows文件保护tsshutdn 60秒倒计时关机命令tourstart --------------- XP简介(安装完成后出现的漫游XP程序)taskmgr --------------任务管理器eventvwr -------------事件查看器eudcedit --------------造字程序explorer --------------打开资源管理器packager -------------对象包装程序perfmon.msc --------计算机性能监测程序progman -------------程序管理器regedit.exe ----------注册表rsop.msc -------------组策略结果集regedt32 -------------注册表编辑器rononce -p ----------- 15秒关机regsvr32 /u *.dll ----停止dll文件运行regsvr32 /u zipfldr.dll取消zip支持cmd.exe --------------- cmd命令提示符chkdsk.exe ----------- chkdsk磁盘检查certmgr.msc ---------证书管理实用程序calc -------------------启动计算器charmap -------------启动字符映射表cliconfg sql server客户端网络实用程序clipbrd ---------------剪贴板查看器conf ------------------启动netmeeting compmgmt.msc ----计算机管理cleanmgr ------------垃圾整理ciadv.msc -----------索引服务程序osk -------------------打开屏幕键盘odbcad32 ------------ ODBC数据源管理器oobe/msoobe /a ----检查xp是否激活lusrmgr.msc --------本机用户和组logoff ----------------注销命令iexpress -------------木马捆绑工具,系统自带nslookup --------------IP地址侦测器fsmgmt.msc ---------共享文件夹管理器utilman ---------------辅助工具管理器gpedit.msc -----------组策略//以下为Windows操作系统的常用运行命令,执行这些命令,就能打开系统对应的相关实用程序,如果大家能基本利用,就能检查并修复系统的最基本的故障,除注销,关闭系统命令外,其它所有命令,大家不妨一试!!运行\输入CMD\输入对应的相关实用程序:.打开C:\Documents and Settings\XXX(当前登录Windows XP的用户名)..打开Windows XP所在的盘符下的Documents and Settings文件夹...打开“我的电脑”选项。
实验三 Linux操作系统安全实验 (一)
实验三Linux操作系统安全一、实验目的及要求(一)实验目的通过实验熟悉Linux环境下的用户管理、进程管理以及文件管理的相关操作命令。
掌握linux操作系统中相关的系统安全配置方法,建立linux操作系统的基本安全框架。
(二)实验要求根据实验中介绍的Linux操作系统的各项安全性实验要求,详细观察记录设置前后系统的变化,给出分析报告。
使用RPM对系统的软件进行管理,验证系统内软件的完整性,并分析结果。
试比较Linux下网了服务安全设置与Windows下安全设置异同。
二、实验环境安装Red hat9.0操作系统的计算机一台三、实验内容1、账户和口令安全2、文件系统管理安全3、查看和更改PAM模块设置4、RPM软件管理5、系统安全配置四、实验步骤任务一账户和口令安全1、查看和添加账户(1)在X_Windows窗口中单击鼠标右键,选择“信件中断”,输入下面的命令行:[root@localhost root]#useradd mylist利用useradd命令新建名为mylist的新账户。
(2)输入命令行:[root@localhost root]#cat/etc/shadow利用cat查看系统中的账户列表。
用su命令切换到新建的账户,重复步骤(2),检查shadow文件的权限设置是否安全。
设置安全时,普通用户mylist应该没有查看该系统文件的权限。
在终端中出现如下的提示:Cat:/etc/shadow:权限不够2、添加和更改密码(1)在终端输入[root@localhost root]#passwd mylist为新建账户添加密码。
注意:系统管理员无需输入原来密码即可以利用passwd命令添加或改变任意用户的密码,但普通用户只能改变自己的密码。
(2)输入后依次出现如下提示:Changjing passwd for user mylist.New passwd:Retype new passwd:Passwd:all authentication tokens updated susscessfully.输入密码,Linux系统不会将输入显示出来。
信息安全小贴士
信息安全小贴士:小贴士1:使用强口令在经典故事“阿里巴巴和四十大盗“中,念出咒语“芝麻开门”,盛满金银珠宝的秘密山洞之门就会开启。
你的电脑就如这个山洞——充满了被攻击者视为黄金般的珍贵信息。
口令和密码是通往你计算机上宝贵财富的大门,它可能是计算机安全方案中最薄弱的环节.随着口令破解工具功能的不断增强,用来破解口令的计算机更加强大.设置难以猜测、难以破解的强口令就更重要了。
背景知识:什么是强口令一个足够强、足够好的口令应满足以下方面的要求,通常我们将满足以下要求的口令称为强口令:◆口令长度至少八位字符长◆口令应混合字母、数字和符号操作提示:如何设置一个好记忆的强口令简单的说,一个好的强口令就是足够长、足够复杂、没有规律,难以猜测.但在现实生活中,好的强口令不仅仅是对黑客和别有用心的人难以猜测,在提供安全性的同时,由于其复杂性有时也会给我们带来麻烦,在计算机用户日常工作中最经常碰到的问题就是忘记口令。
使用8个字符以上不包含姓名、用户名、手机号码、生日等的强口令,不同应用使用不同口令,而且还需要定期更换,对于普通计算机用户来说,这是一件非常苦恼的事情.下面,我们将介绍一些帮助大家创建易记忆.但难以猜测的强口令的小技巧。
例:可以找一个句子,然后有规律的从中选择出字符组成口令.“2008我将成为河北电力总公司的一名员工",选择中文汉字的拼音首字母并把末尾2位字母改成大写“2008wjcwhbdlzgsdymYG"这个口令就不错.又如,取一句古诗词“天生我材必有用,千金散尽还复来”成“tswcbyy,qjsjhfl"。
温馨提醒:养成良好的口令使用习惯不仅对于操作系统,对于其它所有需要口令访问的应用和资源来说,我们需要确保以下良好的口令使用习惯:◆对不同应用和资源使用不同的口令◆为屏保程序设置口令,离开机器时要注销或锁屏◆不要把口令写在纸上或其它可能被他人容易取得的地方◆定期修改口令小贴士2:文件必须安全存储在日常工作中,无论通过电子邮件、U盘等方式存储、处理和传送电子文档,应尽可能根据需要进行加密,以加强文件的保密性。
计算机安全用户名口令方式
图 4-1 口令牌 1、使用动态口令认证时,需要用户持有“认证器” 或者“口令牌” ,它们是用来生成动态密码的装 置。 动态口令技术即通过“口令牌” 得到随时变化的、不可预知的、一次性有效的口令,客户在登录时 用动态口令代替固定口令,通过认证后, 该口令即失效, 既有效的提高了身份认证的安全性,同时免除 了用户记忆密码和经常需要更换密码的麻烦。 2、到目前为止, 动态口令技术主要应用发展分为三种: 时间同步技术, 事件同步技术和挑战/应答 (异步)技术。 · 挑战/应答(异步) :也称为异步令牌,其令牌和服务器之间除相同的算法外没有需要进行同步的 条件,用户登录时每次由服务器传过来一个挑站值, 用户将挑站值输入到口令牌中计算口令,并将计算的 口令输入再回传给服务器进行认证, 就像两个人对暗号一样,暗号对上, 认证 就通过。 · 时间同步: 基于令牌和服务器的时间同步, 通过运算来生成一致的动态口令, 基于时间同步的令牌, 一般更新率为 60 秒,每 60 秒产生一个新口令。 · 事件同步:基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,在 算法中运算出一致的密码。用户每次登录时按一下口令牌生成一个口令, 服务器在用户登录时每次生成一 个口令与口令牌中的口令进行对比。 3、动态口令认证系统一般由三个部份组成: · 动态口令令牌:硬件设备, 像一个小的计算器, 用来生成口令, 可以随身携带。 · 动态口令认证服务器: 认证服务器端是动态口令认证系统的核心,负责响应认证系统客户端所发 过来的用户认证请求(动态口令),完成用户的身份认证。 · 代理软件(Agent) : Agent(代理软件)以及基于各种标准的访问协议(如 RADI US 协议)构 成认证转发点, 安装在受保护的系统上, 负责将用户的认证请求转发到认证服务器端; 4、对于上述的这三种技术都需要用户持有一个“认证器” 或是“口令牌” 来生成动态密码。 而为 防止动态口令牌丢失时,被别人盗用, 一般口令牌使用 PIN 码保护, 根据 PIN 码保护的形式不同, 令 牌又具有如下两种特征: · 软 Pi n 码保护: 软 PIN 码是在密码输入窗口输入动态密码时, 同时输入的个人记忆的静态口 令,将其和令牌生成的动态密码一同输入弹出的用户名口令窗口, 传送到服务器端实现认证。 · 硬 Pi n 码保护: 硬 PIN 码既是在开启口令牌时要求输入的记忆密码,不知道该密码的人员不能 使用口令牌,既不能开机,类似于手机的 PIN 码,这个 PIN 码不会再输入到弹出的登陆窗口。 由于软 Pi n 码每次用户登录时均在网络中传输, 又由于该密码的传输过程中并不进行加密, 故易被窃听,故在安 全级别较高的情况下, 建议使用有数字键盘的可以用硬 PIN 码进行保护的硬件口令牌, 从而杜绝安全漏 洞。 5、动态口令作为一种强身份认证机制,其更适用于对网络设备的认证应用。 在当前越来越广泛使用 数字证书或 USB Key 的身份认证方式的情形下, 动态口令在对网络设备方面的认证不可取代。 USB Key 对 Windows 服务器登录, Telnet 登录都有局限性, 而动态口令在这方面有很好的解决方案。动态口令 可以保护以下的系统: · 拨号服务器及路由器、 交换机 · 防火墙
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机口令安全。
相信提到计算机安全很多人都会首先联想到口令安全,确实,很多病毒、木马编写者都乐意把口令猜解功能集成到程序里面,原因很简单,获得了口令的同时也就获得了口令对应帐户的权限,而大多数个人计算机用户都不认为口令安全是一件很重要的事,计算机管理员口令往住为空或是1234什么的,不信你拿"流光"或"X-scan"或"SSS"到internet上扫描下,得到的空口令或弱口令的数量之多想必会让你大吃一惊。
或者你拿"LC5"或"saminside"之类的工具去扫一下你的本地计算机,你就会难过地发现你一直以为健壮的口令是多么不甚一击。
那么,什么样的口令才算是安全的呢?还是先让我们来简单了解一下计算机口令的存储和验证过程,假设我们在本地计算机上创建了一个Boy的帐号和一个我们认为安全的密码口令,这时计算机会把Boy的口令通过加密散列算法进行加密并存储在安全帐户管理器sam数据库中,散列是一种把可变长度的二进制输入经过处理后生成固定长度的二进制输出的结果。
使用一个优秀的散列算法那么理论上来说两个不同的输入不会产生相同的输出。
也就是说相同的输入总是产生唯一的输出。
由于加密散列是单向函数,所以该过程是不可逆的,也就是说,加密散列不能被解密。
当用户登陆时,用户输入的口令就会被同一加密散列加密,并把结果与sam中存储的散列值进行比较,如果相同,那么表示口令匹配,用户就通过了身份验证。
在2000以后的系统,交互式登陆使用的是"NTLM"(或NTLMv2)身份验证算法。
该算法较之2000之前的操作系统使用的LM算法要先进和安全许多。
具体表现在,支持128个字符的口令长度,支持使用Unicode字符集,进行口令散列的时候不用像"LM身份验证算法"那样要先分成两段,再分别进行加密。
但是为了在局域网内保证与旧版本的操作系统的兼容性,网络身份验证的时候仍然使用LM对98等旧版本操作系统进行身份验证。
也就是说sam数据库中同时保存了某一口令的NTLM和LM两种算法的加密散列,这就导致了安全风险,一但我们获得了某一计算机的sam文件,LM算法会帮助我们更快地破解出加密口令。
为什么这么说呢?我们来看下LM大概的加密过程就知道了,首先,LM会先将口令一律转换成大写,并分成两个7字符长度的段,如果口令不足14个字符,LM会自动用0对口令进行填充补足14个字符,然后单独加密每个段,来创建LM口令散列。
这样生成的口令很容易被破解,因为只需要分别对两个段进行独立的破解,再把结果拼起来我们就获得了完整的口令。
对于强力的口令破解工具而言,不用一会的功夫就能把你自认为强健的口令破解出来。
等下,你刚才不是说通过散列加密的口令是不能被解密的吗?那破解工具是如何破解口令的呢?其实很简单,破解工具压根不会去解密口令,他们对字典穷举或暴力破解算法产生的进行散列加密(算法是公开的),然后逐个与sam数据库里对应的你要破解的帐号口令进行比较,来判断所猜解的口令是否正确...那么看来LM散列看来很危险,有没有办法删除呢?有的,如果我们不想让LM散列保存在我们的sam数据库中,那么你要做以下步骤:1。
开始运行里输入secpol.msc,打开“本地安全策略”管理单元,选择本地策略,选择安全选项,找到“网络安全:不要在下次更改密码时存储Lan Manager 的Hash 值”条目,把它设为启用。
如图:2。
更改想要保护的帐号的密码并重新启动。
(这样系统就不会再为新的口令创建LM的散列值并存储了,散列也称哈希)回到我们最先的话题,什么样的口令才算是安全口令呢?1。
要足够长,越长的口令越难破解,这地球人都知道,我建议大家用短语口令,长度最好14个字符以上。
2。
要足够复杂,复杂性要求至少包含:大小写英文字母、数字、特殊符号四类字符中的三类。
(这是微软建议的密码复杂策略的其中一条)3。
在口令中使用Unicode字符,NTLM及其后续版本支持Unicode字符,Unicode字符对口令来说是个很好的选择,一般普通的口令破解程序在它们的强力算法中都不包含Unicode。
要包含Unicode字符,按住Alt键并使用数字键盘按下三到四个阿拉伯数字。
注意:并不是所有的Unicode字符都能提高安全性。
有些只能简单地表示可由键盘输入的字符。
具体参见:/smallbusiness/support/articles/select_sec_passwords.mspx)帐户权限配置。
在大多数与安全相关的培训课程和文档中我们经常会见到"最小特权原则"这个词,好,让我们先来了解一下最小特权原则:最小特权原则规定,所有用户应该使用仅具有完成当前任务所需的绝对最小权限的用户帐户登录。
这样做可以对抗其他攻击中的恶意代码。
此原则适用于计算机和那些计算机的用户。
也就是说应用程序的运行需要多少的权限,我们就授予多少的权限,绝不多给。
这个道理很简单,多余的权限只会带来安全隐患,所以在配置用户权限的时候要特别的注意。
基于这个原则那我们在加强计算机安全的时候就应该做到合理的分配用户帐户的权利和权限,为共享资源配置访问权限控制,重要的机密文件应该用EFS进行加密保存。
我们在英特网上流浪,没遇到熟人却经常碰到病毒、木马、恶意程序。
一不留神就发现机子变慢了,QQ密码被盗了,主页被修改了。
种种悲惨的遭遇真是让人对"上网"这项不能减肥的活动不禁又爱又恨哦。
那好,让我借用盆盆(微软最有价值专家)的一篇"IE最佳安全保护"的文章来给我们的IE加上"金钟罩"。
1。
首先启用基本帐户类型,操作如下:1)打开注册表编辑器,定位到以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 2)新建一个名为Levels的DOWRD键值,其数据数值为0x20000。
2。
打开“本地安全策略”管理单元(如果第一次设置软件限制策略,请右键单击“软件限制策略”,选择“创建新的策略”菜单项),展开软件限制策略→安全级别,在右侧的详细窗格里可以看到“基本用户”,如图所示:3。
我们在其它规则下,新建一个路径规则,如图所示,指定安全级别为“基本用户”,这样每次运行IE浏览器,都可以运行在更安全的级别。
经过如上配置我们的IE获得的权限就类似于用户组里的User帐户,对系统所能做的操作是很有限的,如通过IE强制安装的流氓插件或"3721"之流将因没有足够的权限被系统拒绝而无法安装。
这在很大程度上保证了我们的上网安全。
当然,我个人的建议是最好用最小权限的帐户去上网,比如用guest去浏览网页,即使不幸中招,病毒或木马也会因为从该帐户继承到的安全上下文和访问令牌权限过低而无法发作或做更进一步的系统破坏。
一句话,没有权限病毒和木马什么也做不了,这也就可以理解为什么病毒和木马程序在破获了某一帐户的口令之后接着要做的就是通过各种方法来提升帐户权限。
越少越安全。
看过金庸先生武侠小说的朋友应该知道,金庸先生曾在他的小说里对武功的破绽有一段精彩的论述,他说任何武功招术都有破绽,你只要一出招同时你的破绽也就露了出来,所以无招胜有招。
对于操作系统情况也是一样的,操作系统要对外界提供各种各样的功能,他提供的功能越多,他的漏洞就越多。
假设我们的操作系统什么功能也没有,你怎么攻击它?借用前面最小权限原则的道理,我们不难明白,如果想要系统更安全,不必要的功能一定要关掉,我们需要什么功能就开什么功能,其它的应该通通禁用掉,比如系统服务,比如用户帐户,比如共享资源,比如远程访问等等。
下面来说说具体怎么做。
针对个人上网用户,系统服务有必要开的只有下面提到的几个,其它的可以根据情况考虑使用禁用或手动,如果你确定以后绝对不会用到这些功能,那就禁用吧,如果不确定,那设为手动就OK了。
COM+ Event SystemCryptographic ServicesDCOM Server Process LauncherEvent LogNetwork ConnectionsPlug and PlayProtected StorageRemote Procedure Call (RPC)Security Accounts ManagerShell Hardware DetectionSystem Event NotificationWindows AudioWindows Management InstrumentationWorkstation服务是和端口对应的,启用了服务它就会打开相应的端口监听,比如server服务,它会使系统监听UDP的137、138和TCP的139、445端口,139和445是访问共享的时候用做数据传输的连接端口,旧版的操作系统使用NetBT(NetBios的TCP/IP实现)监听137、138、139端口,用于共享资源的访问和传输,2000以及后续版本使用一种称为SMB(消息传输模块)的技术来实现资源共享访问,监听445端口。
网上流行的关139端口关445端口,还有删默认共享,删IPC$共享(事实上IPC$是没法删的,修改的那个注册表键值实际上是禁用了空连接,变相的把匿名共享管道给堵了)的方法,说句实话,白忙活,你把server服务禁用了,就OK了,当然如果你更狠点把服务给改名了,那退一万步说即使真有黑客入侵进了你的机子,他想重新启用server服务他也得瞎忙上一阵子,而如果他想在你的机子上种点木马啊留个后门什么的,没有server服务他是很难施展开手脚的。
关于帐户安全的建议是停用administrator。
先创建一管理员帐户,然后把admin停了,以后的管理维护交给创建的那个管理员帐号。
再建一受限帐号,默认是User组的权限,建(记得给每个帐户设置口令,即使被停用administrator,议一般的日常操作在这个帐户下进行。
并且密码的设置要符合前面提到的口令安全要求)另外系统防火墙一定要开,对于新手而言,它可以帮你的计算机挡掉大部分的危险。
即使你有硬件层的防火墙,我还是建议你把系统的防火墙功能打开。
本地安全策略。
你在开始运行里输入secpol.msc就可以打开“本地安全策略”管理单元如图所示:在本地策略下面会有三大管理单元分别是审核,用户权利指派,安全选项。
审核的就不说了,有兴趣的自己去研究。
个建议把用户权利指派和安全选项下面的每一个条目都认真的看一遍,然后根据自己的要求进行配置,每一条目的具体做用就不说了,自己去查资料,不然三天三夜也讲不完哦。