返回
口令攻击-古力老师

口令攻击-古力老师

ID:41867693

大小:619.51 KB

页数:34页

时间:2019-09-04

口令攻击-古力老师_第1页
口令攻击-古力老师_第2页
口令攻击-古力老师_第3页
口令攻击-古力老师_第4页
口令攻击-古力老师_第5页
资源描述:

《口令攻击-古力老师》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、口令攻击及其防范南开大学信息技术科学学院古力2010年11月口令和身份认证针对口令强度的攻击针对口令存储的攻击口令攻击的防范2010年11月一、口令和身份认证口令认证是身份认证的一种手段。2010年11一、口令和身份认证认证过程可以是用户对主机,也可以是一台计算机向另一台计算机通过网络发送请求。基于口令认证是较为常见的一种形式,如用户到主机操作系统的认证过程如下:(1)用户将口令传送给计算机(2)计算机完成口令单向函数的计算(3)计算机把单向函数值和存储的值进行比较。2010年11二、针对口令强度的攻击针对口令强度的攻击就是对目标口令通过不断地猜测,推断进行破解尝试,越简单的口令越容易被

2、猜解2010年11二、针对口令强度的攻击1、强口令与弱口令从理论上来讲,任何口令都不是绝对安全的,这是因为无论用户选择多么复杂的口令,它的取值只能是有限个数值中的一个。从技术的角度来说,口令保护的关键在于增加攻击者破译口令所付出的时间代价。2010年11二、针对口令强度的攻击一般都是人为的原因造成口令存在种种安全隐患,因为人们在创建口令时往往倾向于选择简单、有规律容易记忆的口令,这种安全性不高的口令为攻击者带来了很大的便利。较为安全的口令应该不容易发现规律,并且有足够的长度。2010年11二、针对口令强度的攻击2、针对口令强度的攻击方法针对口令强度攻击的方法主要是针对一些弱口令的特点,进

3、行攻击尝试,一般有强力攻击、字典攻击以及对这两种方法进行折中的组合攻击等几种方法。2010年11二、针对口令强度的攻击(1)强力攻击对于固定长度的口令,在足够长的时间内,总能穷举出其全部可能的取值。如果有足够快的计算机能尝试字母、数字、特殊字符等所有的组合,将能够最终破解出所有的口令。这种类型的攻击方式称为强力攻击。一个由4个小写字母组成的口令可以在几分钟内破解(大约共有50万种可能的组合);一个由6个字符,包括大小写、数字、标点、特殊字符等的口令(大约有10万亿种可能的组合),可以在一个月内进行破解。2010年11二、针对口令强度的攻击一般应用程序都有自己的认证协议,由于使用不同的认证

4、协议,口令攻击所使用的工具通常也不一样。比如FTP、电子邮件能否利用各种技术和方法来提高口令验证速度是这些工具设计好坏的关键。口令攻击工具常常使用缩短数据包时间间隔、多线程等技术来提高口令探测的速度。ShadowSecurityScanner。2010年11二、针对口令强度的攻击(2)字典攻击字典攻击是将一些常见的、使用概率较高的口令集中存放在字典文件中,用与强力攻击类似的方法进行逐个尝试。一般攻击者都有自己的口令字典,其中包括常用的词、词组、数字及其组合等,并在攻击过程中不断地充实丰富自己的字典库,攻击者之间也经常会交换各自的字典库。使用一部1万个单词的词典一般能猜出系统中70%的口令

5、。2010年11二、针对口令强度的攻击对付字典攻击最有效的方法就是设置合适的口令,强烈建议不要使用自己的名字或简单的单词作为自己的口令。目前很多应用系统都对用户输入的口令进行强度检测,如果输入了一个弱口令,则系统会向用户警告提示。字典攻击的常用工具有:JohntheRipperL0phtCrack2010年11二、针对口令强度的攻击安装并设置L0phtCrack此实验在Win2003下完成1)在PC1上安装L0phtCrack下载最新版的L0phtCrack。目前最新版本为LC5.双击安装程序lc5setup,安装L0phtCrack,根据提示完成安装。2)使用LC5检测弱口令。LC5能

6、检测Windows和Unix/Linux系统用户的口令,并可以根据需要要求用户修改密码。具体使用方法如下:2010年11二、针对口令强度的攻击(1)打开LC5,此时该软件会弹出一个向导框,如下图,可跟随向导完成设置。2010年11二、针对口令强度的攻击(2)单击下一步,在这个框中可以选择用于检测的加密密码的来源,一共有四种,分别是:本机注册表,需要系统管理员权限;同一个域内的计算机,需要系统管理员权限;NT系统中的sam文件;监听本地网络中传输的密码散列表。本实验我们选取第二种方法。2010年112010年11二、针对口令强度的攻击(3)单击下一步,在这里选择的是检测密码的方法,如下图所

7、示,一共有4种快速检测,这种方法将LC5自带的字典中的29000个单词与被审计的密码匹配。这种方法只需要数分钟就能完成检查;普通检测:这种方法除了能检测上述密码,还可以检测一些在单词基础上进行简单修改的密码。强密码检测:这种方法采用暴力破解的方式来检测密码,通常检测时间超过一天;定制检测:这种方法可以根据需要灵活的进行配置,例如改变字典、改变混合模式的参数以及选择用于暴力破解的字符集。一般来说,检测越严格,所花的时间就越长。本实验我

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。