如何防止黑客入侵[2]:攻击者如何搞定你的口令/密码?

作者:编程随想   来源:http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-2.html

本帖国内镜像:
http://blog.csdn.net/program_think/archive/2010/06/15/5673033.aspx

  在上一个帖子,俺强调了高权限用户的潜在风险。接下来,咱要介绍一下,和口令相关的安全话题。毕竟在大伙儿的日常生活中,口令的使用是必不可少滴。
  考虑到和口令相关的内容较多,俺分两部分来说:今天首先揭露攻击者的种种伎俩;下一帖再详述应对的措施。

  ★使用密码的场合(密码的类型)
  为了便于后面的叙述,俺有必要先总结一下,使用口令的几种场合。
  针对这几种不同的场合,攻击者会采取不同的攻击手法;因此,大伙儿也要采取针对性的防范手法。

  ◇操作系统用户的口令
  这种场合应该好理解。目前主流的操作系统都具有口令验证的用户登录机制。

  ◇各种网络应用的口令
  随着网络(尤其是Web)的普及,这种场合越来越多。比如:Email、即时通讯(IM)、BBS、上网炒股、等,都需要有用户口令认证。

  ◇各种本地应用程序的口令
  此种场合可能不如网络应用的口令那么常见。比如:用口令加密的压缩文件、用口令加密的Office文档、PGP密钥的口令、Outlook设置的启动口令、等。

  ◇其它
  除了上述3种类型,其它那些比较少见、杂七杂八的,统统归为其它。比如:BIOS的开机口令。

  ★攻击者如何通过技术手段搞定的你的密码?
  前面列举了密码的不同使用场合。接着咱要介绍一下:攻击者会利用哪些技术手段,攻破你的密码。

  ◇木马盗取
  如果你的电脑已经被攻击者安装了木马,那你的一举一动有可能都会被监视。在这种情况下,你在这台电脑上输入的任何密码,都将会被攻击者获取。所以,这种情况是很危险滴——不管是哪种类型的密码,都可能被盗。
  至于如何防止自己的计算机被植入木马,不是本帖的重点。俺会在本系列后续的帖子中专门介绍木马的防范。

  ◇密码猜解
  密码猜解也是网友们比较容易碰到的威胁。具体来说,密码猜解又分两种:弱密码猜解和暴力破解。
  如果你的密码比较弱,攻击者就很容易被猜出来。俺在下一个帖子里,会介绍,什么样的密码属于弱密码。
  除了对弱密码进行猜解,攻击者还可以通过穷举的的方式,破解中等强度的密码。毕竟现在CPU的计算能力日新月异,尤其是多核CPU普及之后,暴力破解的效果会越来越好。除非你的密码很强,才能彻底消除暴力的风险。在下一个帖子,俺会介绍,如何构造强度较高的密码。

  ◇网络截获(嗅探)
  在这种方式下,攻击者会通过嗅探的方式,分析你的上网数据。如果你在上网过程中,存在明文传输的口令,就会被截获。
  非安全专业的网友,可能不太明白什么是“嗅探”,俺来稍微解释一下。攻击者会利用某些嗅探软件,收集网络上传输的所有数据。这个过程好比电话窃听。嗅探软件类似于窃听器;你的上网数据类似于电话的通话内容。
  这几年,随着现在无线网络(Wi-Fi)的普及,网络嗅探的风险大大增加,列位看官切不可掉以轻心哦。

  ◇本地截获
  还有一种方式和“网络截获”方式相对,那就是“本地截获”。具体是啥意思捏?俺来解释一下。
  凡是利用口令进行验证的软件系统,都需要存储和口令相关的信息。否则的话,软件系统就无法验证用户输入的口令,到底是不是正确的。如果攻击者能够拿到这些口令的关联信息,那他/她就有可能分析出口令是啥。
  (如果你不是搞IT专业的,下面这段可能看不太明白)
   通常用三种方式来存储口令的关联信息:1、存储口令的明文;2、存储口令经过加密后的密文;3、存储口令的散列值。第一种方式是最土鳖的,稍微先进一些 的系统,都不会用了。后面两种方式,虽然看不到明文,但是攻击者还是有办法通过相应的算法,反推出口令的明文。具体细节,本文就不再多说了。

  那攻击者如何获得存储在软件系统的口令关联信息捏?可能的途径有许多种,俺随便举几个例子。
  比如:你的电脑丢失了,而且被攻击者拿到,那他/她就可以得到操作系统中存储的用户口令的散列值。然后,再利用前面提到的暴力破解,就有可能搞定你的口令。
  比如:某个邮件服务器有安全漏洞,被攻击者利用。那么攻击者有可能获取服务器上存储的,所有用户的口令关联信息。

  ★攻击者如何通过“非技术”手段搞定的你的密码?
  说完了技术手段,自然就得再说说技术手段。所谓的非技术手法,也就是社会工程学手法(关于社会工程学的扫盲,请看“这里”)。用于盗取密码的社会工程学手法,大概有如下几种。

  ◇偷窥
  偷窥是最简单的一种社会工程学攻击手法。虽然简单,但是有效。比如很多盗取银行卡的家伙,就是偷窥的手法,得到被害人的银行卡密码。

  ◇钓鱼
   另外一个骗取口令的方式,就是通过网络钓鱼。比如某些攻击者,会伪造一个银行的网站。其界面和真实的网站一模一样。然后通过某种方式(比如:虚假链接、 欺诈邮件、DNS欺骗、等),引诱你到这个网站上。由于假网站和真网站的界面很像,你可能信以为真,然后在假网站中输入你的用户名和密码。
  有些高明的钓鱼网站,会采用类似Web代理的技巧:把你的所有输入操作,转而提交给真网站;然后把真网站输出的界面,再转回给受害者看。这样的话,受害者就跟在真实网站进行插作,没啥区别,不易看出破绽。
  更多关于网络钓鱼的介绍,可以参见“这里”。

  ◇分析
  如果攻击者对你比较了解,那么他有可能通过深入的分析,攻破你的口令防护。是不是觉得很神奇?很匪夷所思?其实这种招数很常见,且不算太难。俺来举个例子。
   相信很多网友都用过电子邮箱的找回口令功能。当你口令遗忘之后,可以通过回答事先预设的问题,来找回口令。很多不太专业的用户,预设的问题都很简单(比 如:你的手机号是多少?比如:你的生日是哪天?)。对于这类过于简单的问题,攻击者可以很容易地找到答案,从而窃取到你的邮箱口令。

  ◇欺骗
  最近几年,通过电话诈骗,骗取银行卡密码的案例越来越多。这种作案手法,就属于社会工程学中,“欺骗”的范畴。其实在IT领域,某些黑客也会利用这种手法来获取口令。具体的一些欺骗的伎俩,可以参见俺之前的“社会工程学系列”帖子。

  ★结尾
  介绍到这里,列位看官应该对黑客盗取口令的手法,有一个初步的认识了。下一个帖子,会介绍具体的应对措施。
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-2.html


没有评论: