解析Windows密码安全问题(第二部分)
2009-05-13 17:46:14 来源:WEB开发网导言
在文章的第一部分中,我们详细探讨了默认Windows系统是如何建立的过程。请注意,默认Windows密码时使用Default Domain Policy GPO(与域相连的)建立的,这也是确定密码长度、期限和复杂性等密码规则的位置。在本文中,我们讲浅谈一下使用哪些技术可以“攻陷”Windows密码,本文的目的旨在帮助用户预防黑客攻击,而不是教导用户如何盗取Windows密码。大家都知道,不同的Windows操作系统可以被不同的攻击方式进行攻击。在Windows Server 2003和XP中的密码保护有着显著的改善,能够有效帮助用户抵御黑客的攻击。
注:本文中我们将讨论到的很多工具都是来自黑客网站,我建议大家不要在生产网络或者桌面下载任何类似产品和工具,以确保网络和生产环境不会收到这些工具的影响。此外,很多公司已经将禁止使用这些产品和工具写入安全管理条例,以确保员工不会下载、安全或者使用类似工具。
社会工程学
目前最流行最成功的盗取用户密码的方式就是社会工程学攻击,社会工程需攻击可能采用不同的方式和模式,有些攻击可能会模拟服务台、IT人员或者安全专家来获取密码。
如果你认为社会工程学不可能在你的企业环境中发生,那么建议你看看关于IRS如何受到社会工程需攻击的报告,其结果相当惊人(链接为:http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9028960&intsrc=news_ts_head)。这些报告结果都是耸人听闻的,再安全的企业环境都可能受到社会工程攻击。
对付社会工程学攻击的唯一方法就是教导用户,教导他们如何保护自己的密码,经常重置密码、密码保密等。
猜测
获取用户密码的另一种流行方法就是通过猜测来获取,这也是我们经常会采取的方式,最好加强密码的强度,不要让别人能够很容易猜到。如果你想知道很容易被猜到的密码清单,可以看看Conflicker用于攻入管理员帐户的密码清单。该蠕虫本身内置了一个密码破解器,使其成为非常强大的流氓蠕虫病毒。
赞助商链接