第三章口令攻击本章主要内容3.1概述3.3针对口令存储的攻击3.5口令攻击的防范3.2针对口令强度的攻击3.4针对口令传输的攻击一、口令与身份认证对于计算机系统,只有经过授权的合法用户才能访问身份认证(IdentificationandAuthentication)用户向计算机系统以一种安全的方式提交自己的身份证明,然后由系统确认用户的身份是否属实,最终拒绝用户或者赋予用户一定的权限。二、身份认证的方式常见的身份验证的思路Whatyouknow?Whatyouhave?Whoyouare?Whereyouare?计算机领域中的身份认证用户名和密码验证磁卡或者智能卡认证基于人的生理特征认证基于地理位置的认证其它的特殊的认证方式三、身份认证的过程认证请求方认证服务器提出认证请求认证交互过程认证是否成功四、口令攻击分类根据攻击者获取口令方式不同分为:针对口令强度的攻击针对口令存储的攻击针对口令传输的攻击本章主要内容3.1概述3.3针对口令存储的攻击3.5口令攻击的防范3.2针对口令强度的攻击3.4针对口令传输的攻击一、强口令与弱口令弱口令曾经有人做过这样一个调查,让一百名国内大学生写出两个口令,这两个口令将用于电脑开机,非常重要,且将来使用率也很高,要求慎重考虑。下面是测试结果:用自已的中文拼音最多,有37人如wanghai、zhangli等。用常用的英文单词,有23人,如hello、good等。用计算机中经常出现的单词,有18人,如system、command、copy、harddisk等。用自已的出生日期,有7人,如780403、199703等。选择两个相同口令的有21人,接近相同的有33人一、强口令与弱口令强口令较为安全的口令应该不容易被发现规律,并且有足够的长度。对长度的要求随应用环境的不同而不同,应该使得攻击者在某个时间段内很难破解。二、针对口令强度的攻击字典攻击强力攻击组合攻击撞库攻击彩虹表攻击将使用概率较高的口令集中存放在字典文件中,通过不同的变异规则生成猜测字典速度足够快的计算机能尝试字母、数字、特殊字符所有的组合,将最终破解所有的口令攻击者通过收集在网络上已泄露的用户名、口令等信息,之后用这些账号和口令尝试批量登录其他网站,最终得到可以登录这些网站的用户账号和口令彩虹表就是一种破解哈希算法的技术,主要可以破解MD5、HASH等多种密码三、Windows系统远程口令猜解口令总是和一定的用户名相匹配,所以合法用户的用户名的获取也是口令攻击的一部分。IPC:共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道。Netuse\\IP\IPC$“”/user“”