1.口令破解攻擊及防御措施

用戶使用的鑒別依據（口令）通常由用戶默認生成或由用戶生成，為了記憶的方便， 用戶通常不對系統生成的默認口令進行更改或選擇與自己相關的信息來設置口令，例如自己和親人的生曰、紀念日、電話號碼甚至使用易于記憶的字符串。這種類型的口令雖然便于記憶，但容易猜測，對攻擊者而言，使用這樣口令進行保護的系統是非常脆弱的。

窮舉攻擊是針對口令進行破解的一種方式，它通過窮舉所有可能的司令的方法來進行攻擊。假設某用戶設置的口令是7位數字，那么最多存在10的七次方種口令。盡管一次輸人注游{信息安，釜專業人弱。皤洲教粑}㈠弱日aS0）猜對口令的可能性為千萬分之一，但在現有網絡計算環境中，猜測一個口令的投入很小，攻擊者很容易做到利用軟件連續測試10萬、100萬，甚至1000萬個口令，理論上，只要有足夠的時間，所有口令都可以被破解。著名的密碼破解軟件john和LOphtCrack，就是利用窮舉方式對Linux和Winclows系統中存儲的口令散列值進行窮舉破解。隨著技術的發展，口令破解中使用口令字典以提高破解的效率已經成為主流，攻擊者預先構建了用戶經常會使用的各種口令，通常是英語單詞、用戶名+生日組合及其他可能的組合的口令字典。在攻擊時使用口令破解軟件，從口令字典中逐個選擇一個口令進行嘗試，如果口令錯誤，則選擇下一個口令繼續進行嘗試，直到猜測成功或字典上所有口令被遍歷。由于網絡資源的廉價（想象一下現在家用寬帶每個月的費用），攻擊者進行這種類型的攻擊成本極低。攻擊者只需要部署一臺計算機，不停的針對目標賬戶進行登錄嘗試就可以。

針對口令破解的防護措施一是提高口令的強度，加大攻擊者破解的時間和難度，二是阻止攻擊者反復嘗試的可能；1)提高口令的強度目標是確保密碼具有足夠的復雜性在應用系統中設置安全策略，避免用戶使用過于簡單的口令；對用戶進行安全意識教育，使用戶理解弱口令的安全風險并學會如何設置安全的口令。 安全的口令通常包括以下兩個特征：易于記憶，而且攻擊者難以猜測。安全的口令應達到一 定的長度，同時包含大寫字母、小寫字母、數字、特殊字符等，還要避免采用一些規律過于明顯的組合。例如：口令zaq12wsxZAQ!@WSX看似復雜，但其鍵盤順序規律過于明顯，已經被很多攻擊者列入常用攻擊組合。