为了使基于DES的策略更强壮且能抵御 字典攻击,传统UNX口令机制的设计者 增加了“sat一个12位数字,在0 4095之间。sl被用来搅乱DES算法,可 把一个纯文本口令加密为4096种不同的 果
⚫ 为了使基于DES的策略更强壮且能抵御 字典攻击,传统UNIX口令机制的设计者 增加了“salt”——一个12位数字,在0~ 4095之间。salt被用来搅乱DES算法,可 把一个纯文本口令加密为4096种不同的 结果
●salt使得使用预编译字典对加密口令进行 攻击变得更困难。代替为字典中每个单 词做一次单独加密,攻击者现在不得不 对字典中每个单词的40%6种排列进行加 密和储存。在20年前,Salt是作为难以逾 越的资源障碍引入的,但现在12位slt不 再被认为是一种有效的防御方法
⚫ salt使得使用预编译字典对加密口令进行 攻击变得更困难。代替为字典中每个单 词做一次单独加密,攻击者现在不得不 对字典中每个单词的4096种排列进行加 密和储存。在20年前,salt是作为难以逾 越的资源障碍引入的,但现在12位salt不 再被认为是一种有效的防御方法
2、口令的弱点 ●可以使用一个相对简单的公式来评价UNIX口 令机制的缺陷 K×C>>ET ●K是口令空间的绝对容量。这是一个攻击者 侵入特定用户账号所需要搜索的空间 ●C是一个常量,表示攻击者对一个系统中平 均每个用户所要付出的努力。在UNⅨX策略中 该常量是4096(sat排列数)。 ●●E代表DES加密方法中的加密次数/秒。 ●T是攻击者攻击时所能花费的最多秒数
2、口令的弱点 ⚫ 可以使用一个相对简单的公式来评价UNIX口 令机制的缺陷: ⚫ K×C >> E×T ⚫ ⚫ K是口令空间的绝对容量。这是一个攻击者 侵入特定用户账号所需要搜索的空间。 ⚫ ⚫ C是一个常量,表示攻击者对一个系统中平 均每个用户所要付出的努力。在UNIX策略中, 该常量是4096(salt排列数)。 ⚫ ⚫ E代表DES加密方法中的加密次数/秒。 ⚫ T是攻击者攻击时所能花费的最多秒数
●在任何情况下,该公式都揭露了一个有 关UNX口令的严重事实:当K和X已 十年未变时,E则因CPU和其他系统组件 的发展而在每年戏剧性地增长。更糟的 是,不断发展的存储技术使攻击者能事 先编译好整个加密字典,这减少了成功 攻击所需的时间
⚫ 在任何情况下,该公式都揭露了一个有 关UNIX口令的严重事实:当K和X已二 十年未变时,E则因CPU和其他系统组件 的发展而在每年戏剧性地增长。更糟的 是,不断发展的存储技术使攻击者能事 先编译好整个加密字典,这减少了成功 攻击所需的时间
账号管理方面的风险 ●维护账号安全需要对系统和用户账号进 行细心的管理。除了上面讨论的口令安 全外,还要考虑怎样建立用户名。有些 账号需要特殊处理,包括缺省账号,如 系统(特别是root)和共享账号。在某 些情况下,也许要求建立特殊的账号来 控制或限制环境。如果对这些方面的管 理不注意安全性,会对系统安全产生严 重威胁
二、账号管理方面的风险 ⚫ 维护账号安全需要对系统和用户账号进 行细心的管理。除了上面讨论的口令安 全外,还要考虑怎样建立用户名。有些 账号需要特殊处理,包括缺省账号,如 系统(特别是root)和共享账号。在某 些情况下,也许要求建立特殊的账号来 控制或限制环境。如果对这些方面的管 理不注意安全性,会对系统安全产生严 重威胁