实例讲解密码破解及抗击手段

核心提示： 图2 明文数据的ASCII译码这是最基本的安全性原则之一：不要使用产品名称作为密码，但无论原则如何基本，实例讲解密码破解及抗击手段(6)，奇怪的是还是经常有人这样做，接下来，请务必同等看待内部和外部威胁，示例：社交工程骗局不需要工具而破解密码的骗局称为社交工程攻击，请注意某些外部威胁，外部

图2 明文数据的ASCII译码

这是最基本的安全性原则之一：不要使用产品名称作为密码。但无论原则如何基本，奇怪的是还是经常有人这样做。

接下来，请注意某些外部威胁。

外部攻击

外部攻击者是那些必须透过您的“深度防御”试图闯入您系统的人。他们做起来并不象内部攻击者那样容易。第一种方案涉及一种很常见的外部攻击形式，称为网站涂改。这一攻击使用密码破解来渗透攻击者想破坏的系统。另一个可能的密码破解攻击是攻击者尝试通过社交工程（Social Engineering）获取密码。社交工程是哄骗一个毫无疑虑的管理员向攻击者说出帐户标识和密码的欺骗方法。让我们对这两种方案都研究一下。

示例：网站主页涂改

图3演示了外部密码破解的一种很常见和简单的示例：涂改网站的主页。它不费多少力气，通常只要通过利用未正确设置其权限的Internet Information Server (IIS)就可以完成。攻击者只要转至工作站并尝试使用HTML编辑工具攻击IIS 服务器。当试图通过因特网连接到该站点时，攻击者使用一个密码发生器工具（如L0phtCrack），它启动对服务器的蛮力攻击。

图3 被攻击者替换的主页

您公司的声誉处于危险中。如果业务供应商和关联企业感到您的数据保存在不安全的服务器上，他们将不再信任您。请务必同等看待内部和外部威胁。

示例：社交工程骗局

不需要工具而破解密码的骗局称为社交工程攻击。请阅读这种方案以了解更多信息。