41口令的历史与现状 口另外一个和口令有关的问题是多数系统和软件有 默认口令和内建帐号,而且很少有人去改动它们, 主要是因为: 口不知道有默认口令和帐号的存在,并不能禁用他们; 出于防止故障以防万一的观点,希望在产生重大问题时, 商家能访问系统,因此不想改口令而将商家拒之门外; 多数管理员想保证他们自己不被锁在系统之外:一种方 法就是创建一个口令非常容易记忆的帐号;另一种方法 就是和别人共享口令或者把它写下来。而以上两种都会 给系统带来重大安全漏洞 2021/2/3 网络入侵与防范讲义三
2021/2/3 网络入侵与防范讲义 6 4.1 口令的历史与现状 另外一个和口令有关的问题是多数系统和软件有 默认口令和内建帐号,而且很少有人去改动它们, 主要是因为: ◼ 不知道有默认口令和帐号的存在,并不能禁用他们; ◼ 出于防止故障以防万一的观点,希望在产生重大问题时, 商家能访问系统,因此不想改口令而将商家拒之门外; ◼ 多数管理员想保证他们自己不被锁在系统之外:一种方 法就是创建一个口令非常容易记忆的帐号;另一种方法 就是和别人共享口令或者把它写下来。而以上两种都会 给系统带来重大安全漏洞
42口令破解方式 口4.21口令破解方式概述 口422词典攻击 口4.23强行攻击 口4.24组合攻击 日4.2.5常见攻击方式的比较 口426其它的攻击方式 2021/2/3 网络入侵与防范讲义
2021/2/3 网络入侵与防范讲义 8 4.2 口令破解方式 4.2.1 口令破解方式概述 4.2.2 词典攻击 4.2.3 强行攻击 4.2.4 组合攻击 4.2.5 常见攻击方式的比较 4.2.6 其它的攻击方式
421口令破解方式概述 口口令破解是入侵一个系统比较常用的方法 口获得口令的思路: ■穷举尝试:最容易想到的方法 ■设法找到存放口令的文件并破解 ■通过其它途径如网络嗅探、键盘记录器等获取口 口这里所讲的口令破解通常是指通过前两种方 式获取口令。这一般又有两种方式:手工破 解和自动破解。 2021/2/3 网络入侵与防范讲义
2021/2/3 网络入侵与防范讲义 9 4.2.1 口令破解方式概述 口令破解是入侵一个系统比较常用的方法。 获得口令的思路: ◼穷举尝试:最容易想到的方法 ◼设法找到存放口令的文件并破解 ◼通过其它途径如网络嗅探、键盘记录器等获取口 令 这里所讲的口令破解通常是指通过前两种方 式获取口令。这一般又有两种方式:手工破 解和自动破解
421口令破解方式概述(2) 口手工破解的步骤一般为: ■产生可能的口令列表 ■按口令的可能性从高到低排序 ■依次手动输入每个口令 ■如果系统允许访问,则成功 ■如果没有成功,则重试。 注意不要超过口令的限制次数 口这种方式需要攻击者知道用户的 userID,并 能进△被攻卖系的登陆界面趣要先拟出所 口思路简单,但是费时间,效率低 2021/2/3 网络入侵与防范讲义
2021/2/3 网络入侵与防范讲义 10 4.2.1 口令破解方式概述(2) 手工破解的步骤一般为: ◼ 产生可能的口令列表 ◼ 按口令的可能性从高到低排序 ◼ 依次手动输入每个口令 ◼ 如果系统允许访问,则成功 ◼ 如果没有成功,则重试。 ◼ 注意不要超过口令的限制次数 这种方式需要攻击者知道用户的userID,并 能进入被攻击系统的登陆界面。需要先拟出所 有可能的口令列表,并手动输入尝试。 思路简单,但是费时间,效率低
421口令破解方式概述(3) 口自动破解 ■只要得到了加密口令的副本,就可以离线破解。这 种破解的方法是需要花一番功夫的,因为要得到加 密口令的副本就必须得到系统访问权 ■但是一旦得到口令文件,口令的破解就会非常的快, 而且由于是在脱机的情况下完成的,不易被察觉出 来。 2021/2/3 网络入侵与防范讲义
2021/2/3 网络入侵与防范讲义 11 4.2.1 口令破解方式概述(3) 自动破解 ◼ 只要得到了加密口令的副本,就可以离线破解。这 种破解的方法是需要花一番功夫的,因为要得到加 密口令的副本就必须得到系统访问权。 ◼ 但是一旦得到口令文件,口令的破解就会非常的快, 而且由于是在脱机的情况下完成的,不易被察觉出 来