有效口令的设置研究

摘要：北约对南联盟的轰炸引起了“黑客”世界大战，许多站点被攻击，安全专家又一次受到挑战。尽管安全保护措施不断出台，系统软件不断增加安全防范功能，但黑客的手段也日渐高超，正所谓“道高一尺，魔高一丈 ”，安全理论和技术在这场拉锯站中也将日臻复杂。
关键词：有效口令 设置 防范系统
前言
   再复杂的安全防范系统都有一道最重要的防线：身份认证——对想访问系统和其数据的人进行鉴别交检验其身份，这便引入了人为因素，因此，它就成了黑客最感兴趣的安全漏洞。
身份认证有四种主要方法：一是对用户所知道的信息进行认证，要求用户输入一些保密信息，如用户名和口令等；二是用所拥有的物理识别设备进行认证，如访问卡、钥匙或令牌等；三是对用户的基本特征进行认证，采用生物统计学系统，基于某种特殊的物理特征对人进行唯一性识别，如指纹、视网膜血管分布图等；四是用下意识动作进行认证，要求用户进行一些别人无法模仿的动作，如笔迹、击键习惯等，然后提取数据结果进行校验。后三种方法的实现非常困难，而且成本昂贵，一般除安全保密部门之外都不使用。最常见的身份认证方法是口令法，这种方法易于实现，并能有效识别用户的身份。
一、        对口令的攻击
在计算机安全系统中，用口令进行身份认证是防止入侵的第一道重要防线，黑客若没有获得一个有效的口令，要想闯入计算机系统就很困难。因此，黑客攻击的第一步便是设法收集口令。
口令丢失不仅是你个人的损失，而且黑客通过你的口令进入系统后，会利用你的帐户权限破坏整个系统，或以此为跳板攻击其他系统。因此，选择一个安全有效的口令是非常重要的。
什么样的口令才算有效呢？只有知道黑客如何破获口令的，才能设置出他们解不了的口令，这样的口令才算有效。
黑客破解口令时一般先尝试使用用户名及其各种排列或加上数字、标点符号等，如果他了解用户很多的信息，比如生日、电话号码、家人或宠物的名字等，他会不断地尝试，若都不正确，就会采用以下两种方法：
一是“口令入侵者”——可以解开口令或者屏蔽口令保护的程序。口令入侵者并不能真的解开单向加密的口令，而是使用仿真工具，利用与原口令程序相同的方法，通过对比分析，用不同的加密口令去匹配原口令。许多“口令入侵者”都借助字典文件进行“蛮力”攻击，以很高的速度一个接一个地去试，最终会碰到正确的口令。
二是利用“特洛伊木马”——提供了用户所需用要的功能同时隐含了不良动机的程序，它会在你不了解的情况下拷贝文件或窃取密码。这类程序可能通过各种途径进入计算机，但又很难被发现。比如有些窃取密码的程序伪装成系统登录屏，等你输入帐号和口令，然后提示“口令不正确”或“系统出故障，请重新登录”等信息，再转到真正的系统登录屏，有的程序会给用户造成一种系统无意中退出的印象，当重新显示登录屏时，用户就会输入登录信息，这样信息就被记录下来传给了黑客。
二、        选择有效口令
黑客攻击口令很厉害的一招是“蛮力搜索”——逐个尝试各种可能的口令组合，但他们往往不用这个方法，而是根据人们的习惯进行猜测。为此，选择有效的口令可从以下几个方面入手：
（1）       千万不要使用你的有户名或真名做口令。安全行业把用户名做口令的帐户称为Joe，它是黑客测试的第一个口令。
（2）       不要认为口令只能是数字，或只能是字母，口令可以使用：26×2（大小写字母）+10（数字）+33（标点符号）=95个字符。一个好的口令应包括大小写字母、数字、标点符号等，不要认为这很难记，如“1Q23L，yc45J.”可以记成“一去二三里，烟村四五家。”，这种口令虽然复杂，但很好记，又很难被搜索到。