安全密码的设置

安全密码的设置（共11篇）

安全密码的设置 篇1

0引言

随着网络支付、电子商务、互联网金融等网络业务的迅猛发展,信息安全已经不仅仅局限于军事、政治、外交需要了,越来越多的商业、金融、政府的大量敏感数据需要密码算法的保护和认证。在交换机、路由器等网络设备运维管理中,也应用到大量的密码算法,比如SNMP v3、ssh、SSL、IPSec等网络协议中。目前开放的网络环境使得设备之间交互的信息容易受到攻击者的篡改、窃听或者非授权的访问,特别是网络设备如果被黑客控制,则会帮助实现信息窃取及篡改、DNS、DDos攻击等网络攻击,造成根本性的安全威胁。

现代密码学主要分为对称密码和非对称密码[1], 其安全性是基于数学理论的。非对称密码学基于数学中的困难问题,比如素数分解、离散对数问题等。 对称密码基于数学中的代数变换。不管对称密码算法还是非对称密码算法,其安全性在现有的计算能力下都是不可破解的。随着密码分析技术的进步和计算机计算能力的提升,暂时安全的密码算法将会变得不再安全,这时就需要更换算法或者增大算法的参数,来实现密码算法的理论安全。本文对常见的密码算法进行了分析,提出了要达到安全目的各类密码算法应该如何设置参数,可以作为日常网络安全参数配置的参考依据。边信道攻击算法的出现,帮助攻击者将设备及链路的物理学变化(如功率、电磁辐射等)与密码分析结合起来,这就使得传统的密码算法必须选择更长的参数,才能保证同等的安全性。

1常见的密码算法对比分析

1.1密码算法在计算机网络中的应用

在交换机及路由器的基本配置中(以Cisco的命令行为例),enable password这种配置命令方式是明文的,enable secret采用了MD5来实现加密。 service password-encryption这个命令的加密方式则采用了MD5或思科的私有算法来完成信息的加密。

如果在关键网络环境中启用SNMP v3协议,就提供了鉴别和加密的功能,来实现网络安全。其中鉴别是通过使用MD5或SHA-1作为散列函数,通过HMAC实现的。加解密是通过DES-CBC、AES等算法实现的。SNMP v3协议提供了3个安全级别: no Auth No Priv,auth No Priv和auth Priv,其中应用的密码算法如下:

no Auth No Priv级别指明了没有认证或私密性被执行;

auth No Priv级别指明了认证被执行但没有私密性被执行;

auth Priv级别指明了认证和私密性都被执行;

auth--- 认证,支持MD5 or SHA;

priv--- 加密,支持DES or RSA。

在对网络设备远程运维时,经常会用到Secure Shell安全协议,这其中使用到DSA,RSA,Kerberos5,NTLM等公钥密码算法,用来建立安全的链接并且传输数据。后来为了获得更高的安全性,人们还扩展使用了ECDSA等更为安全的密码算法。

在TCP/IP协议簇中,密码算法 在IPSec、SSL等网络协议中得到更加广泛的应用,比如HMAC、 3DES、AES、IDEA、Diffie-Hellman密钥交换、椭圆曲线D-H等密码算法,特别是不同的版本,密码算法及参数选取的方法发生了很大的变化。

1.2对称密码算法

常见的对称密码算法有DES、AES[2,3]等,在这些算法的基础上还可以进一步变换以增强安全性, 比如3-DES等。由于对称密码算法的高效,已经被广泛应用于从email到ATM机等各个方面。Hash函数也属于对称密码算法,其被独立使用时不能完成信息的加解密,但是在实现数据完整性校验、身份验证等方面具有关键意义。常见的Hash函数有MD5,SHA-0,SHA-1,SHA-2等。但是随着密码分析技术的进步,MD4、MD5已经被破解不推荐使用, SHA-0被证明是有缺陷的,SHA-1也已经有针对性的破解算法,从而使其安全性明显降低,SHA-2一直没被广泛使用。2012年,NIST宣布Keccak算法被选为SHA-3。以MD5为例,首先将信息变换为16进制的32位数字,然后经过一系列的移位、替换等代数变换,生成128 bit的Hash值。2004年,MD5算法被发现不能抵抗一种碰撞攻击,其破解的困难性大大降低[4]。2005年,符合X.509标准的公钥证书已经可以被仿造出来,表明了MD5算法的彻底不安全。时至今日,安全Hash函数的设计仍然是一个热点问题。

1.3非对称密码算法

1976年,Diffie和Hellman[5]共同发表了《New Direction in Cryptography》,设计出第 一个公钥 密码(非对称密码)算法,是现代密码学的开端,使得在开放的网络环境中实现信息的保密性、认证性、完整性和不可否认性成为可能。对称密码体制和非对称密码体制各有特点,各有适合的场合。对称密码体制的运算量很小,加解密效率相对较高,但是在很多方面存在不能克服的先天缺陷,由于需要事先分配密钥,使其不能满足很多场合的需求。公钥密码体制则可以很容易地实现密钥分配等功能,但是公钥密码体制中常包含代数结构(群、环或有限域等)上复杂的大整数或多项式的运算,运算效率相对较低。 公钥密码算法的安全性是基于数学上的困难问题的,所以下面按照困难问题进行分类,对各类算法及参数设置进行分析。

1.3.1基于整数分解的算法

基于整数 分解困难 问题的密 码算法主 要有RSA、Rabin、Blum算法等。RSA是现在非常常见的一种密码体制,由Rivest、Shamir和Adleman在1977年共同提出[6]。2009年,一个232位的整数被成功分解,意味着参数选取为768 bit的RSA、Rabin等算法已经不再安全。而基于计算效率方面的考虑, 参数选取一半为16或者32的倍数,同时考虑在安全性方面保留足够冗余,一般情况下参数选取推荐为1 024 bit。

1.3.2基于离散对数的算法

自从Diffie和Hellman基于离散对数问题引入公钥密码学的概念以来,其他基于离散对数或者基于其他域上的离散对数问题的密码体制正在引起越来越广泛的关注。El Gamal曾经设计出一种协议来实现如何利用离散对数问题来构建公钥密码体制的加密和签名[7],Elgamall算法至今仍在广泛应用。为了满足多种需要,El Gamal的方法也在不断的改进和完善中,其中美国政府的标准签名算法(DSA)就是El Gamall算法的一种变形[8]。简单来看,一个基于椭圆曲线上离散对数问题的密码算法描述如下。

1)公共参数计算:设有限域Fq上的椭圆曲线E,存在基点B∈E。每一个用户选择一个随机整数a,并把它当作私钥,计算b=a B,将点b公开作为公钥, b为椭圆曲线上的另一个点。

2)加密算法:Alice选择随机 数k,并将密文c=(k B,m+kb) 发给Bob,其中a是Bob的私钥,b是Bob的公钥。

3)解密算法:Bob计算m′= m+kb–a(k B)。

在上面的算法中,B、b均为椭圆曲线上的一个点,a B、k B的计算均为标量乘计算。椭圆曲线密码算法就是基于Diffie-Hellman密钥协商协议的思想, 不同的是Diffie-Hellman密钥协商协议利用的是基于一个素数构成的乘法群上的离散对数问题,而椭圆曲线密码体制是将这种思想可以扩展到椭圆曲线上的点群上。离散对数问题可以简单表述如下:设G是一个阶为n的有限群,α 是G上的一个元素,那么给定一个元素 β∈G,找一个整数x,满足0<x<n–1, 且 αx=β。类似的已经用来设计密码算法的群有很多,比如特征为2的有限域上的乘法群[9],整数环上模一个素数形成的乘法子群[10],Zn上的单位形成的群(其中n是一个合数)和有限域上的椭圆曲线上的点形成的群等[11,12]。

当然上面的密码算法太简单了,以至于不实用且存在破解漏洞,需要对它进行适当改造后才可以使用,比如DSA、Diffie-Hellman密钥交换协议等。 在选取这些算法的参数时要非常小心,比如要选择安全素数(满足p=2q+1的素数),选取的群的一个子群阶要较小等。针对离散对数问题的算法也有很多, 比如Baby-step giant-step算法、数域筛法、PohligHellman算法等。

1.3.3椭圆曲线及超椭圆曲线密码算法

椭圆曲线密码(Elliptic Curve Cryptography,ECC) 算法在1985年首先由Koblitz和Miller分别独立 提出,这类密码体制建立在有限域上的椭圆曲线上的点群上。在椭圆曲线的点群上应用其他密码算法,比如建立在其他阿贝尔群上的密码算法,就可以修改为椭圆曲线密码体制,比如DSA签名协议、 Diffie-Helman密钥交换协议、El Gamall协议等。与RSA加解密算法相比,椭圆曲线密码体制使用更短的密钥和公共参数,所以具有更快的运算速度、耗费更小的功耗、需要更小的存储,也就更适合在小型设备如智能卡、RFID卡上实现。

椭圆曲线密码体制的优势在于其上的离散对数问题的现有算法均具有幂指数的复杂性,如类“index-calculus”的算法,这就意味着与整数群上的密码体制相比,使用较短的密钥就得到相同的安全性,适用于小功耗和小集成电路空间的应用场景,比如智能卡、无线移动设备等。

ECC和RSA是目前2种成熟商用的公钥密码算法。其中RSA密码体制的基本运算是整数环上的模幂,其安全性基于大整数分解问题。大整数分解问题存在于指数复杂的算法中,所以相同安全性的条件下,椭圆曲线密码体制需要更短的密钥,计算效率更高。在椭圆曲线密码体制上,160比特长度密钥提供的安全性相当于RSA中1 024比特密钥的安全性,更详细的比较见表1所列[13]。

超椭圆曲 线(HEC)是椭圆曲 线(EC)的一种代数扩展,可以用来设计实现密码体制,Koblitz于1988年首次提出超椭圆曲线密码体制[14]。与椭圆曲线密码体制相比,超椭圆曲线密码体制上的运算参数及密钥长度都更短,所以安全性更高,更适合应用于计算能力较弱或者存储受限的环境,比如嵌入式系统。对应1 024比特密钥长度的RSA密码体制, 在椭圆曲线和超椭圆曲线上建立阶为2160大小的群, 就可以满足相同的安全需求[15]。要满足此安全性, 椭圆曲线密码体制的操作数长度可选取为160比特。 若使用亏格为2的超椭圆曲线,操作数的长度应为160/2=80比特;若使用亏格为3的超椭圆曲线,操作数的长度减小为55比特即可。由于在亏格大于3的超椭圆曲线上建立密码体制的安全性会相应降低,同时曲线的选择也非常繁琐,所以目前大多数超椭圆曲线密码体制都是建立在亏格为2的曲线上的。

2边信道攻击及其对网络安全运维的影响

近几年来出现了一种利用密码算法执行过程中的物理信息来实现攻击破解的密码分析方法,叫做边信道攻击,为密码分析开辟了一个新的领域。在传统的密码体制模型中,Alice和Bob在一个不安全的信道上通信时,会使用密码算法来保证通信的保密性,理想状态下系统的安全性就只依赖于密钥的保密性和密码算法的安全性。在实际应用个人电脑、智能卡或者移动电话等设备实现密码协议时,必然要运行某种密码算法并且保护密钥的安全。但是, 在处理不同的数据时,设备所消耗的功率、运行时间等必然不同,而这些物理信息一般与密钥长度或者复杂性是紧密相关的,通过这些物理信息就可以推断出密钥的某些信息,比如长度、位数、非零比特数等敏感信息。这样,系统的安全性就不仅依赖于算法和协议的安全性了,还依赖于算法和协议的安全实现。由于用来实施边信道攻击的设备相对来说比较易得,所以这种攻击对于现有的密码体制来说具有巨大的威胁。

Kocher在文献 [16] 中首次提出了边信道攻击的方法,通过收集设备(如芯片、CPU处理器等)在运算时的功耗、电压甚至电磁辐射等物理信息,来推测密钥的相关信息,然后通过代数分析来最终破解密码算法。由于绝大多数密码算法在程序实现时,总会包含有程序分支,而导致处理不同的数据时会消耗不同的时间或者功耗,于是就可以泄漏密钥的长度、非零比特数等信息,这就是边信道攻击的原理。边信道攻击已经被用来攻击多个密码算法, 如RSA、DSA等公钥密码及MD5、Hash等对称密码。边信道攻击的应用范围也非常广泛,只要执行密码算法的硬件就有可能被利用获取边信道信息, 如加密机、加密卡、智能卡等。功耗攻击[17]和差错攻击[18]也是常见的几种边信道攻击方法,它们分别通过分析加解密设备在算法时所耗费的时间、功率或者发射的电磁辐射等信息,来分析设备中保存、使用的私钥。

针对边信道攻击的抵抗方法通常加入一些冗余操作,或者通过代数变换设计新的密码执行算法来去除各种边信道信息。但是这些方法都会大大降低原有密码算法的运行效率,因此非常有必要设计既能抵抗边信道攻击又能高效运算的算法。

如果密码破解者如果能够操作加解密设备,甚至可以通过改变设备电压、瞬时电流等方法,在密码设备或者寄存器中引入错误数据,来进一步破解密码体制。差错攻击由Boneh[19]等人在1997年提出。 在这种攻击中,攻击者试图在智能卡运算的过程中, 改变输入的功率(或是输入的时钟),来强行改变寄存器里的数值,这样密码算法就会用一个错误的数据来参与运算。通过比较正常的输出和产生差错后的输出,就可以得到模数的分解。例如,设RSA CRT签名体制中,模数N=pq,于是其签名运算为:

其中,d1=d mod p–1,d2=d mod q–1,CRT(cp, cq) 则表示利用中国大数定理求解。当在运算过程中强行出现一个差错时,假设最终运算结果为是c′p、 cq和c′=CRT(cp, cq),于是可以用欧几里德算法计算q=gcd(c′–c,n),最后得到N=pq的分解。

密码设备的运算,必然产生电磁辐射,就如同功耗分析和时间攻击,电磁辐射也会泄漏运算的信息[20]。目前边信道攻击已经成为攻击智能卡等移动安全设备最有效的攻击方法之一。常用的抵抗边信道攻击的方法主要有2个:从硬件设计上来实现, 或者是从代数设计安全的算法来实现。硬件方面的抵抗措施主要是通过破坏功耗曲线和增强信号的噪声来降低攻击的有效性,但是信号处理或者是增加分析数据的数量可以轻易克服这种抵抗方法,并且这些方法对抵抗电磁辐射攻击和时间攻击都是基本无效的。于是出现了更强的抵抗方法:双轨道编码 (dual rails encoding),可以从理论上去除设备重量和功率消耗之间的联系。但是这种方法大大增加了电路的规模、体积和成本,在很多情况下并不适用。 生产商还可以将同步技术改为异步,这样会使对功耗曲线的分析变得更困难。而同时,DPA分析方法的不断改进,也使得单纯的硬件上的抵抗攻击变得脆弱。而通过代数变换设计可以抵抗边信道攻击的密码算法,几乎不增加成本,并且可以灵活适应各种新出现的攻击,是当前研究的一个热点。

由于边信道攻击大大降低了已有密码算法及安全协议的安全性,所以在有可能实施边信道攻击的环境中,就要更加谨慎地选择密码体制参数及密钥长度。比如在主流的防火墙、IPS、流量控制等安全设备的远程配置时,几乎都使用了HTTPS、SSL、 Secure Shell等安全协议。而在开放的网络环境中, 就要注意防范功耗、登录执行时长等边信道信息的泄露。如果无法阻止,就需要选用可以防范边信道攻击的密码算法,或者采用更长的密钥和密码参数, 以实现安全性不降低的目的,如RSA算法可选择2 048比特长度,基于椭圆曲线的密码算法可以选择235比特以上长度的密钥。

3结语

为了实现信息安全,在网络设备配置及协议中应用了大量的密码算法。但是随着密码分析技术的进步和计算机计算能力的提升,暂时安全的密码算法已经逐步变得不再安全,如果使用了不恰当参数的密码算法,将会对整个系统的安全性从根本上造成损害。本文对常见密码算法的安全性进行了分析, 通过比较得出使用更安全的算法或者增大算法的参数,都可以进一步实现密码算法的理论安全,可以作为日常网络设备配置及选用时的参考依据,从而避免误用造成的安全性降低。

安全密码的设置 篇2

根本的推选了一下word2007，下面来说一说即日发觉的小技巧，给文档配置密码。

一、翻开word2007，然后点击word2007左上侧的“office按钮”图标?

选中并点击“另存为――word文档”选项，

如图所示：

二、在弹出的另存为对话框左下侧，点击“工具”，如下图：

三、工具的下拉菜单中挑选“常规选项”在翻开对话框中配置密码。如下图：

然后在点击“确定”中止保管就能够了。

四、至此已经所有配置终了，但是在这里提示你“翻开文件时的密码”要求翻开文档时用户必需输入密码，如下图：

信用卡设置密码更安全 篇3

原来，王先生的信用卡在没有离身的情况下，被盗刷了3万多元，而银行给出的结论是，由于其是凭密码消费的交易，所以银行并不负责，如果卡片未设密码，则可以赔偿部分损失。对此，有银行人士表态，信用卡消费不设密码，用签名更加安全，因为银行的“失卡保障”服务，仅针对凭签名交易的信用卡有效。

不过，在实际生活中，这样不设密码的用卡方式真的安全可靠吗？

仅凭签名，卡片遗失风险巨大

稍有用卡经验的人都会有所感受，在同样情况下，有密码的卡片一定比无密码的卡片更安全，更不容易被盗刷。

举个最简单的例子，假如两张卡片同时遗失，不设密码的卡片可以轻易被用于POS机消费或ATM机取现等，而设置密码的卡片则多了一重安全保障。在获得卡片者未知密码的情况下，信用卡账户无法被盗用。两者相比安全性孰高孰低显而易见。

可以说，密码验证是信用卡支付安全管理中非常重要的一个验证工具，也的确是比其他工具更私密也更不容易被他人获取的验证信息，这样的安全控制需要客户本人参与和尽责。按照常规逻辑，知道信用卡密码的人应该是持卡人本人，这样的安全意识需要每位持卡人牢记心中。

可能有人会提出，“签名”不也是一种验证吗？当签购单签名与信用卡背面签名不符时，不就能够证明卡片存在盗刷风险吗？

的确，在很多海外地区，信用卡交易都只采用“凭签名”的验证方式，但在国内，这种所谓的“验证”可以说形同虚设。

个人信用报告的不健全是一大原因，绝大部分收银人员“签名核实”意识的淡漠是第二个原因。而且，有关行业专家也指出，根据目前中国银联的仲裁规定，只要音同（卡面上打制的凸字字母与持卡人身份证件上的姓名读音相同），即认定“相符”。所以，在消费当时，签名几乎不能带来任何保障，而只能作为事后核查的一个参考罢了。

获失卡赔偿流程较繁琐

再来看看“失卡保障”。的确，不少信用卡中心已经为持卡人推出了“失卡保障”，针对持卡人挂失前48小时至120小时内的凭签名交易（有些表述为非自动柜员机、银行柜台、互联网络和通信网络进行的盗用）提供保障。不过，当卡片出现盗刷后，要想真正获得失卡保障的赔付，就必须拿出足够的证据。因为我国的法律规定“谁主张谁举证”，证明或证据不充分，发卡银行是不会予以赔偿的。

而且，整个申请过程并非表面看来那么容易。通常的流程为：持卡人发现信用卡丢失或被盗、被抢——持卡人致电信用卡中心客服申请挂失、缴纳挂失手续费——查核是否有盗刷交易。若存在盗刷交易，则需填写《失卡保障申请表》、准备其他完整的索赔资料——快递至卡中心指定地址——等待处理结果。若不存在盗刷，则只需申请补办新卡。

其中，失卡保障所需要准备的理赔单证包括：公安机关出具并盖章的报案回执原件、索赔持卡人的身份证明原件、信用卡索赔消费明细和挂失证明等。这使得持卡人必须与公安机关、信用卡中心，甚至盗刷发生地如商户交涉，丝毫谈不上轻松。通常卡中心会在收齐全部资料后的30日内给予持卡人答复。

可以说，即便是“仅凭签名”交易可以获得失卡保障，也是风险发生后的一种费力补救，与其“亡羊补牢”，还不如提前防范，为卡片设立密码、避免泄露。

失卡保障并非仅针对签名消费

之所以大部分失卡保障仅针对“凭签名”的消费是因为银行卡密码是持卡人预先设置的，密码的泄露与持卡人自身的疏忽脱不了关系，对于这样的损失银行和商家自然是不会负责赔偿的。

而凭签名的消费就有不同了，持卡人对于卡片被盗刷，可能并不负有责任，相反，商户未核对签名可能是责任过错方。在这种情况下，银行或商家才需要对盗刷金额予以赔偿。

实际上，虽然大部分的银行仅针对签名消费予以赔偿，但也有个别能对设密码消费提供赔付的。 交通银行 信用卡的“用卡无忧”服务就很特别。在保障期间，针对持卡人通过POS机刷卡签字完成的交易，挂失前48小时所发生的损失，不论是否设置密码，包括凭“密码+签名”方式交易的盗刷也可以获得赔偿，可享每卡最高4万元人民币的赔付金额。申请该服务的成本为每月4元。据了解，自“用卡无忧”推出至今，交行卡中心已为失卡客户理赔损失金额近500万元。

平安信用卡的保障内容也较为特殊，除了对仅凭签名的消费提供挂失前72小时盗用消费保障外，还可以对信用卡被抢劫取现（凭交易密码）的损失予以保障。

当持卡人遭遇歹徒劫持，在被歹徒胁迫、生命和健康受到严重威胁的情况下，被迫向歹徒泄漏信用卡的交易密码，在挂失前72小时内被歹徒通过ATM机或银行柜台取现发生的损失，可凭公安机关的报案回执，申请损失保障。

安全密码的设置 篇4

随着计算机应用的普及, 许多用户都开始利用计算机处理一些涉及隐私甚至比较机密的信息, 这就不可避免的会遇到如何保密的问题。相对而言, 设置密码是运用最多, 也是最方便有效的安全控制措施!计算机密码的设置, 主要包括:开机密码、屏幕保护密码、Word密码。

1.1 开机密码

对于Window s XP, 设置开机密码的方法一般有三种, 即系统用户密码、系统启动密码和BIOS密码。其设置方法分别如下:

1.1.1 系统中设置用户密码的方法:

开始→控制面板→用户帐户→选择你的帐户→创建密码→输入两遍密码→按“创建密码”按钮即可。如果要取消密码, 只要在第2步要求输入新密码时直接回车即可。

1.1.2 系统中设置启动密码的方法:

Window s XP除了可以在控制面板的用户帐户里设置“用户密码”来确保系统安全外, 系统还提供了一个更安全有效的“系统启动密码”, 这个密码在开机时先于“用户密码”显示, 而且还可以生成钥匙盘。如果你设置了“系统启动密码”, 系统就更安全了。Windows XP设置“系统启动密码”的方法如下:

单击“开始”“运行”, 在“运行”对话框中输入“Syskey” (引号不要输入) , 按“确定”或回车, 弹出“保证Windows XP帐户数据库的安全”对话框, 在对话框中点击“更新”按钮, 弹出“启动密码”对话框, 选中“密码启动”单选项, 在下面输入系统启动时的密码, 按“确定”按钮即可。

要取消这个系统“启动密码”, 按上面的操作后在“启动密码”对话框中选中“系统产生的密码”, 再选中下面的“在本机上保存启动密码”即可, 确定后启动密码就会保存到硬盘上, 下次启动时就不会出现启动密码的窗口了。

“启动密码”在出现登录画面之前显示, 只有输入正确的启动密码后, 才会显示登录画面, 用户才能输入用户名和登录密码完全登录系统。如此, 系统就有二重密码保护。

1.1.3 BIOS中设置密码的方法 (不同机器有所不同) :

(1) 开机按De l键进入CMOS设置, 将光标移到“Advance d BIOS Fe ature s (高级BIOS功能设置) ”回车, 打开“Advanced BIOS Features”页面, 找到“Security Option (检查密码方式) ”或“Password Check (检查密码方式) ”, 将其设置为“System (系统) ” (注:该项有两个设定值System和Setup, 设置为System时开机进入CMOS设置和进入操作系统均要输入密码;设置为Setup时仅开机进入CMOS设置要输入密码) , 按Esc键回到主页面; (2) 在主页面将光标移到“Set Supervisor Password (超级管理员密码) ”回车, 在出现的窗口中输入密码并回车, 在出现的窗口中再次输入同一密码并回车, CMOS便回将密码记录下来并返回主页面。 (3) 在主页面将光标移到“Save&Exit (存储退出) ”回车, 按Y键, 再回车即可。

在第2步选择“Set User Password (设置用户密码) ”可以设置用户密码, 用户密码与超级管理员密码的区别是:用用户密码进入CMOS设置只能查看不能修改。

上述三种密码中以系统启动密码的安全性最高, 用户密码其次, BIOS密码的安全性最低。BIOS密码可以通过将主板上的电池取下而消除;用户密码在网上也可以找到很多破解方法;但启动密码还很难找到破解方法。建议同时设置启动密码和用户密码, 这样就有双重密码保护, 不但开机时要输入密码, 而且在暂时离开时可以通过同时按Windows徽标键 (Ctrl和Alt之间的那个键) 和字母L键锁定计算机 (锁定时, 计算机返回登录的画面, 必须输入拥护密码才能返回系统进行正常操作) , 使他人无法使用。

1.2 屏幕保护密码

当你只是离开计算机一小会儿, 你不想让别人偷窥到你的桌面。你可以设置屏幕保护密码。另外, 屏幕保护程序还有保护显示器的作用。

设置:右击桌面空白处并执行“属性”命令, 打开“显示属性”设置框, 然后单击“屏幕保护程序”选项卡并从“屏幕保护程序”列表框中选择喜欢的屏幕保护程序, 激活系统的屏幕保护功能。接下来我们应复选“密码保护”选项, 然后单击“更改”按钮, 打开“更改密码”对话框并重复两次输入密码即可达到设置密码保护的目的。

1.3 Word密码

设置:在保存Word文档时, 在“另存为”对话框中单击"选项"按钮, 然后在弹出的“保存”对话框的“打开权限密码”或“修改权限密码”栏中设置密码 (设置“打开权限密码”后, 不知道密码的用户将无法打开文档;设置“修改权限密码”后, 其他用户仍然可以打开文档进行浏览, 但是不能对文档进行修改) , 最后单击“确定”按钮即可。

为了保证自己数据的安全, 防止他人的非法破解, 我们在设置密码时应注意以下几点: (1) 每月左右更改一次系统开机密码和Window s的启动密码。 (2) 不要将多个不同项目的密码设置得完全一样。 (3) 密码千万不要少于8个字符。 (4) 不要将自己的个人资料作为密码 (如姓名、英文名字、生日、电话、身份证号码等) , 也不要采用某个现成的英文单词作为密码。 (5) 密码最好采用英文字符、数字及符号的混合, 如A2s?9Qb1+等。 (6) 除少数软件在设置密码时不区分大小写外, 更多的软件则是将大小写字符视为不同的密码。

2 多余端口关闭

Window s有很多端口是开放的, 上网时, 网络病毒和黑客可以通过这些端口进行攻击。

2.1 端口分类

计算机端口, 主要分为:公认端口、注册端口、动态和/或私有端口。

2.1.1 公认端口 (We ll Know n Ports) :

从0到1023, 它们紧密绑定 (binding) 于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。

2.1.2 注册端口 (Re gis te re d Ports) :

从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口, 这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

2.1.3 动态和/或私有端口 (Dynam ic and/or Private Ports) :

从49152到65535。理论上, 不应为服务分配这些端口。实际上, 机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

2.2 关闭端口

第一步, 点击“开始”菜单/设置/控制面板/管理工具, 双击打开“本地安全策略”, 选中“IP安全策略, 在本地计算机”, 在右边窗格的空白位置右击鼠标, 弹出快捷菜单, 选择“创建IP安全策略”, 于是弹出一个向导。在向导中点击“下一步”按钮, 为新的安全策略命名;再按“下一步”, 则显示“安全通信请求”画面, 在画面上把“激活默认相应规则”左边的钩去掉, 点击“完成”按钮就创建了一个新的IP安全策略。

第二步, 右击该IP安全策略, 在“属性”对话框中, 把“使用添加向导”左边的钩去掉, 然后单击“添加”按钮添加新的规则, 随后弹出“新规则属性”对话框, 在画面上点击“添加”按钮, 弹出IP筛选器列表窗口;在列表中, 首先把“使用添加向导”左边的钩去掉, 然后再点击右边的“添加”按钮添加新的筛选器。

第三步, 进入“筛选器属性”对话框, 首先看到的是寻址, 源地址选“任何IP地址”, 目标地址选“我的IP地址”;点击“协议”选项卡, 在“选择协议类型”的下拉列表中选择“TCP”, 然后在“到此端口”下的文本框中输入“135”, 点击“确定”按钮, 这样就添加了一个屏蔽TCP 135 (RPC) 端口的筛选器, 它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框, 可以看到已经添加了一条策略, 重复以上步骤继续添加TCP 137、139、445、593端口和UDP 135、139、445端口, 为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略, 建立好上述端口的筛选器, 最后点击“确定”按钮。

第四步, 在“新规则属性”对话框中, 选择“新IP筛选器列表”, 然后点击其左边的圆圈上加一个点, 表示已经激活, 最后点击“筛选器操作””选项卡。在“筛选器操作”选项卡中, 把“使用添加向导”左边的钩去掉, 点击“添加”按钮, 添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中, 选择“阻止”, 然后点击“确定”按钮。

第五步、进入“新规则属性”对话框, 点击“新筛选器操作”, 其左边的圆圈会加了一个点, 表示已经激活, 点击“关闭”按钮, 关闭对话框;最后回到“新IP安全策略属性”对话框, 在“新的IP筛选器列表”左边打钩, 按“确定”按钮关闭对话框。在“本地安全策略”窗口, 用鼠标右击新添加的IP安全策略, 然后选择“指派”。

重新启动后, 电脑中上述网络端口就被关闭了, 病毒和黑客再也不能连上这些端口, 从而保护了计算机的安全运行。

2.3“重定向”端口

系统管理员可以“重定向”端口。一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80, 不少人将它重定向到另一个端口, 如8080。

实现重定向是为了隐藏公认的默认端口, 降低受破坏率。这样如果有人要对一个公认的默认端口进行攻击则必须先进行端口扫描。大多数端口重定向与原端口有相似之处, 例如多数HTTP端口由80变化而来:81, 88, 8000, 8080, 8888。同样POP的端口原来在110, 也常被重定向到1100。也有不少情况是选取统计上有特别意义的数, 像1234, 23456, 34567等。许多人有其它原因选择奇怪的数, 42, 69, 666, 31337。近来, 越来越多的远程控制木马 (Re m ote Acce s s Trojans, RATs采用相同的默认端口。如Ne tBus的默认端口是12345。Blake R.Swopes指出使用重定向端口还有一个原因, 在UNIX系统上, 如果你想侦听1024以下的端口需要有root权限。如果你没有root权限而又想开web服务, 你就需要将其安装在较高的端口。此外, 一些ISP的防火墙将阻挡低端口的通讯, 这样的话即使你拥有整个机器你还是得重定向端口。

3 结束语

认真做好每台计算机的密码设置和关闭多余的计算机端口, 就能有效地防止计算机信息资料的丢失, 又能阻止计算机病毒的攻击, 使计算机系统安全运行, 更好地为教学、为学生、为科研、为机关服务。

摘要：计算机设置密码, 是为了保护计算机信息和系统正常运行的安全。关闭计算机多余的端口, 是为了防止病毒攻击, 使计算机系统运行更畅通。

安全密码的设置 篇5

教大家设置开机密码的方法之前先要让大家了解一下关于开机密码的两个概念：电脑的开机密码分为两种情况，一种是bios密码，一种是操作系统密码，我们平常所说的开机密码大部分是指进入操作系统所需要的密码，今天我们要介绍的如何设置开机密码也属于操作系统密码。想了解开机bios密码的朋友请在站内搜索。

开机密码设置方法一：依次点击开始--设置--控制面板--用户账户如图：

这里你会看到2个或者更多的账户，一般默认的账户是administrator。双击打开，选择创建密码如图：

到这一步你应该知道该怎么操作了吧! 输入两次相同的密码点击创建密码按钮就可以了。最下边那个密码提示可以填，也可以不填，密码提示的目的是为了在你忘记密码的时候给予一定的提示，基本上没有多大作用，

好了，设置完成，重启下电脑，登陆的时候就会提示你要输入密码了。

开机密码设置方法二：右键单击桌面上我的电脑图标，选择管理，然后点击本地用户和组--用户如图：

这里边会看见这少两个用户，一般administrator这个用户就是你的当前用户。当然，你自己创建的用户也会出现在这里。选择你所使用的用户，右键点击，选择设置密码。这时会弹出一个对话框，直接单击继续按钮就可以了。如图：

接下来在输入密码的对话框里填上你想要设置的密码就可以了，两次都要填一样的。

安全密码的设置 篇6

刚安装了Windows 7系统，创建了一个新账户，但现在不记得是否为Administrator账户设置密码，但现在登录窗口只有我新建的账户，无法找到Administrator账户的图标。请问如何才能为Administrator账户设置密码？

只要重新启动系统，在启动窗口中按“Ctrl+Alt+Del”组合键，就会切换到输入账户名登录界面，如果没有为Administrator账户设置密码，直接输入该账户名并登录，然后再到控制面板中设置密码即可。此外，如果你现在使用的系统账户也具有管理员权限，可以直接右击“计算机”，选择“管理→本地用户和组”，然后选择“Administrator”账户，右击选择“设置密码”，然后直接设置密码即可。但这样会导致Administrator账户丢失相关数据（例如会导致该账户下的加密文件无法打开），不建议这样操作。

如何安装网络文件和打印机共享

不小心将系统中的“Microsoft网络文件和打印机共享”删除了，现在想重新恢复这个功能，但总无法找到恢复的方法。请问如何才能将这个功能重新安装上？

从控制面板中打开“添加或删除程序”，选择“打开或关闭Windows功能”，在列表中找到“打印和文件服务”，执行安装一次即可，安装过程可能需要源安装文件（如图）。

64位Windows 7运行Chrome经常假死

我安装的是64位Windows 7系统，安装的浏览器是Chrome，但在使用过程中经常出现假死，有时能够自动恢复，有时候则直接崩溃退出。请问这是什么原因？

这应该与Windows 7系统无关。请检查Chrome浏览器安装的插件，先将相关插件禁用，然后检查是否能正常工作，然后再一个一个地启用相关插件，最终锁定出问题的插件，直接将其卸载即可。

优盘无法引导安装Windows 7

我有一块优盘使用UltraISO写入过USB—HDD的Windows 7启动盘，但是在我的电脑上无法引导，之后换用微软的引导盘制作工具，制作后也是无法引导，而另一块同型号的优盘没有使用UltraISO操作，直接用微软的工具制作后可以正常引导、安装。请问这是什么原因？

可能是由于没有将优盘激活为可引导所致，使用管理员身份运行命令提示符窗口，然后依次输入以下命令并回车：

diskpart

list disk（查看优盘对应的盘符，例如“#”）

select disk #（选择优盘）

create partition primary

select partition 1

active

这样操作后，即可将优盘激活为可引导，进而直接引导并安装系统了。

文件夹无法自动刷新

一台旧电脑，安装的是Windows 7系统，最近不知道什么原因而引起文件夹无法自动刷新，例如，向某个文件夹中加入文件后，无法看到，只有手工刷新一次才能看到。请问这该如何解决？

请尝试打开注册表编辑器，定位到【HKEY_LOCAL_MACHINESystemCurrentcontrolsetControlUpdate】分支，找到“UpdateMode”键值项，将其值设置成“0”即可。

如何让系统自动升级硬件设备驱动

最近刚从Windows XP升级到Windows 7系统，硬件设备的驱动程序都是通过系统自带的升级程序安装的，但现在开启了系统自动更新功能，系统补丁可以更新，但是驱动程序无法自动更新。请问，能否设置成让系统自动升级设备驱动程序？

系统默认是关闭对硬件设备驱动程序自动升级的，需要手工开启：右击“计算机”，选择“属性”，选择“硬件”选项卡，单击“设备安装设置”按钮，选择“是，自动执行该操作（推荐）”，保存设置即可（如图）。

浅谈如何设置与管理计算机密码 篇7

计算机密码 (Password) , 如同我们生活中的钥匙, 是让计算机识别用户的一种简便方法, 用术语说, 操作系统账户密码是保护计算机不被非授权访问所采用的密码学技术。通常, 我们会根据声音、相貌、笔迹等来识别一个人, 但是我们所应用的计算机基本没有这些功能, 这就要用密码在用户和计算机之间来建立一种联系, 也就是让密码成为开启计算机的一把钥匙。但是如果密码过于简单, 就很容易被破解, 即被盗, 就如同家中钥匙被盗, 会造成信息数据的丢失、系统的破坏, 后果不堪设想, 下面就如何这一问题进行探讨。

2. 常见的密码形式

我们常用如下几种形式的计算机密码:

(1) 有的人为了省事, 使用户名及密码相同, 如:用户名及密码均是yanglanlan。

(2) 将用户名稍做一些变化或组合后作为密码, 如:用户名是yanglanlan, 密码是yangll、yll等, 或者用数字或出生日期与用户名加以组合, 如yang800315、yang1980、yll888等;

(3) 用常见的阿拉伯数字组合作为密码, 一般是:0、123、12345、123456、666、888等;

(4) 用常见的计算机英语单词或对其简单变化后作为密码, 如:qwerty或abcdef。

(5) 用表明个人信息的诸如生日、姓名、配偶姓名、孩子姓名、电话号码、身份证号码、工作证号码、汽车牌号、汽车执照号、居住的街道名称等作为密码。

(6) 与要替换的密码相似的新新密码。

(7) 部分著作或文章中用来作为密码例子而被公布的密码。

另外部分用户用自己电脑或是显示器的品牌用作计算密码。这些密码都是现实工作生活是经常应用的, 但这些密码的安全性很差, 是人们经常能想到的, 所以很容易被人猜出来。对于那些稍微复杂的密码破解, 可使用穷举法, 具体的说就是利用“密码字典”, 它包含了可能的密码, 把用户的名字、电话、英文字典里面的单词都放在里面, 然后逐个地去实验。

3. 设置密码要避开“密码字典”

如果“密码字典”中包含用户的密码, 而且真的有人下决心想破解, 那么它的破解只是一个时间问题。“密码字典”内容构成一般有如下几类:

(1) 通讯方式

包括用户家庭电话、办公电话、移动电话或用户父母及其他亲属的家庭电话等, 有时根据用户所在地情况有选择性地变换号码宽度或者加上本地区号。

(2) 用户及其家人生日

用生日作密码一般根据习惯分年月日、年月、月日三种, 年份选择可用二位或四位。目前大部分计算机及网络用户的出生年份集中在1960-1990, 新用户的年份范围更小, 一般是1980-1990。这样会使“密码字典”范围更小, 密码破解所需时间更少。

(3) 用户或其家人名字拼音及拼音简写

分为姓名辅音的组合 (2-3位) 、中文姓或英文名、中文姓+名、中文姓+名字辅音、中文姓+英文名, 根据使用频率来进行组合:

中文姓氏:

赵、钱、孙、李、 (黎) 、周、吴、郑、王、刘、张、陈、曹、杨、黄、胡、高、何、马、郭、林、梁、谢、唐、宋、韩、于、董、徐、萧、程、罗、袁、沈、傅、邓、冯、朱、许等。

英文名字:

sam、mark、a lan、george、lee、bobcharles、peter、michael、david、steve、helen、frank、henry、king、tom、john、lewis、louis、andy、paul、catty、robert、richard、jack、等

此外, 有时候还可能加上常用数字、出生日期和固定前缀等, 姓名也可能换位, 或者中间分别插入“-”、“_”或“.”三个常用分隔符。

(4) 英文及数字

包含一个内含5万多词汇的英文词典文件english.txt, 另外还有常用数字, 也可以设定数字范围后生成新的数字词典。

在生成词典文件中, 设定了词条的大小写格式和词典宽度范围, 常用用户名是3-6个字符, 常用密码是3-8个字符。由此可知常用的安全程度低的密码几乎都包含在了这个词典中。

而且现在的“密码字典”越来越大, 而且现在计算机的运算速度是相当快的, 如果你的密码很简单, 很快就可以被找出来。

4. 计算机密码的特点

根据以上分析, 我们可以看出设置计算机密码也不是一件容易的事情, 那么如何设置安全合适的密码呢?理论上说, 最安全的密码应完全随机地从数字、字母 (包括大、小写) 、标点符号和特殊字符选择并组合而成。出于安全性考虑, 密码不能太短 (一般场合密码都要求不低于五位) , 不应是常见的字词, 其中也不应包括用户的某些让人容易获得的个人信息。

一个安全的密码应具有以下特点:

(1) 密码字符长度应至少有6个。

(2) 密码中最好包含一个或几个数字或特殊字符, 即非字母字符号, 如0~9、~、!、@、$、%、^、&、*、 ( ) 、_、—、+、=、[、]、:、;、'、<、>、, 、.、?、/和空格等。

(3) 密码不必写下来, 但必须容易记忆。

(4) 为防止别人偷看你输入密码过程, 最好选择你在输入时不看键盘并能迅速键入字符。

5. 计算机密码的管理

设置完密码后, 还应注意它的安全管理。其一是防止由于用户自己的疏忽而泄漏密码, 其二是防止别人用“密码字典”或专业解密软件来破解密码。

密码管理最好的办法最好是把它记在脑子中, 而不是把它用笔记下来, 放在某一个具体位置, 这样密码不仅容易被人发现, 记录密码的记事本、留言条也容易丢失。

出于安全性考虑, 密码设置要求不能太短, 也不是容易记忆的单词等, 这就给用户的记忆带来难题, 如果记忆确实有困难, 可以将其写下来, 但应注意以下几点:

(1) 不要将计算机用户名和密码写在一起, 尤其是用户名和密码不能相同。

(2) 用特定方式对密码稍加改动, 如在密码中增加额外字符或改变字符顺序或截短, 但前提是用户能记住改动方式。

(3) 记录密码的字条 (字条要折叠起来) 或记录本放在安全的地方, 比如保险柜等。

(4) 最好每三个月左右更换一次密码, 以防止他人无意中知道你的密码。

六、结论

提高密码安全性的策略 篇8

“密码”是什么意思?是口令?是密密麻麻的码?是很秘密的码?还是通过的字符(pass word)?还是密码呢?大家都知道我们的生活处处都涉及到密码这个东西,从互联网到现实生活,我们每天都需要重重复复地进行这些操作,如需要密码才能登录电脑,需要密码才能登录邮箱,需要密码才能登录QQ,需要密码才能打开手机,需要密码才能登录ATM,需要密码才能打开行李箱,需要密码才能进入办公室,需要密码才能上网,才能网上支付、刷卡购物……

还有网站后台、数据库、服务器,还有交换机、路由器、防火墙等各种各样重要的设备,都需要有密码才能访问。密码太重要了,大家觉得吗?它可以保护我们的隐私秘密,它可以限制别人不能随便访问我们不公开的内容,它可以保护我们的财产安全,密码的好处就不用说了,但是大家有没有想过密码本身也会有缺陷呢?

2. 密码的缺陷

2.1 默认密码

首先说说默认密码。早期的各种网站系统,如CMS、BBS等等,还有数据库、中间件都带有默认密码,而不少管理员在安装时并没有意识到要去更改它,如admin、admin888、test、root、manager等等都是屡见不鲜的了,而且有些系统如Oracle数据库还不止是一个默认的用户和密码,而是一大堆。

现在稍微有一些好转,很多好优秀的系统在安装的时候都提示或强制管理员必须更改密码了。但是很多防火墙、IDS、IPS等等安全设备还是存在着默认密码。大家可以到以下地方去查找更多的默认密码图1和图2。

http://cirt.net/passwords

http://defaultpasswords.in/

http://default-password.info/

http://www.defaultpassword.com/

http://www.phenoelit-us.org/dpl/dpl.html

http://www.defaultpassword.us/

http://www.helith.net/projects/alecto/

http://www.routerpasswords.com/

http://www.corrupteddatarecovery.com/pages/Default-Passwords-Data-Recovery.asp

2.2 弱密码(懒人密码)

我给弱密码(换个名字叫懒人密码)的定义:包括自己(或者是家人、好朋友)的手机号码、家庭电话号码、生日日期、姓名的拼音、车牌号、QQ号码、银行卡号码、学号、社保号、公司或团体名称等等和你有关并能猜测到的字符。

那么,为什么你最喜欢的电影、电视剧、音乐、宠物、花朵、香水、酒店、餐厅、景点、食物、饮料、偶像、最常见的物品等,却都不能用来做密码?道理很简单,因为总会有地球人知道你的爱好呀。

空密码(换个名字叫超级懒人密码)不属于弱密码这一类,因为根本就没有密码啊。但是我每次去猜别人密码的时候都先会试试空密码,直接就回车试试,大家不用怀疑,还真有成功的时候。如果有人懒到不设密码的话,我也真是佩服他到了五体投地的地步。如果说猜密码是黑客的最高境界,那么空密码也算是懒的最高境界了。

大家不要以为一个不关重要的系统,就可以随便设一个密码,甚至是空密码。它之所以是一个系统,是因为它可能会关系到很多东西,黑客干掉它之后,可能就会跟着再干掉它,还有它、它、它,还有它。但是很多时候它没有被干掉之前,大家都会相信它是很安全的。

大家又有没有想过“弱密码”是怎么来的?弱密码它“弱”的程度会因人而异,一个人的密码“弱”到什么程度的同时,大概也可以看出他“懒”到什么程度了,可以说有什么样的人就会有什么样的密码,也就是说大多时候密码是有可猜测性的。就像心理专家、算命大师、巫师、魔术师一样可以猜测别人的某些信息一样(大家有兴趣可以找Kreskin的表演视频看看),密码也是可以猜测的,因为正常人类的行为是有可预测性的,能够被猜到的密码就是弱密码。

2.3 密码的蝴蝶效应

蝴蝶效应有这么一个小故事——是说蝴蝶翅膀的运动导致其身边的空气系统发生变化,并引起微弱气流的产生,而微弱气流的产生又会引起它四周空气或其他系统产生相应的变化,由此引起连锁反应,最终导致其他系统的极大变化。科学家把这种现象称作“蝴蝶效应”,意思即一件表面上看来毫无关系、非常微小的事情,可能会带来巨大的改变。

此效应说明,事物发展的结果,对初始条件具有极为敏感的依赖性,初始条件的极小偏差,将会引起结果的极大差异。

而密码的脆弱性也会导致某些意想不到的结果,也可以用蝴蝶效应来做比喻。这个问题主要是由于很多人会把同一个密码使用在多种应用系统上面,甚至是所有的系统都是同一个密码。如果有人破解了你的某个系统的密码之后,他可能还会用这个密码来尝试登录你其它的系统,这样导致的问题就是当你某个应用的密码被破解了之后,其它应用也就随之沦陷了。

2.4 懒人的缺陷

首先,似乎人们在设置密码的时候都偏好于小写英文字母、阿拉伯数字,其次是大写字母,最后才是特殊字符,因为在标准的PC键盘上面要输入大写字母、特殊字符的话,都是要先按下shift键或Capsl K键之后才能输入。而且大写的字符很多是出现在第一个,大家都知道很多时候英语单词或句子的第一个字母是大写的。而从键盘上面不能直接输入的字符就更少了。

还有,那么多的密码我们该怎么记忆?如果是“懒人密码”那还好办,记在大脑里就可以了,如果是很强悍的密码呢?强悍到连自己都记不住、猜不到的呢?而且还那么多,并且每个密码都不一样。能够记在大脑里,并不是每个人都是脑力竞赛冠军。

有些人可能会这样做——写在小字条上然后藏在键盘下面,或写在本子上然后锁起来,或存在手机里面,或保存在某个有密码保护的文件里面,或者是使用了某种密码管理软件。

2.5 系统保存密码的缺陷

一般而言,系统保存密码无非是“明文”、“加密”、“散列”这三种。密码的保存可以看出软件开发者安全意识的高度。最危险的就是“明文”保存,把密码原原本本地保存在一个文件里面,或者保存在某种数据库里面,还真有不少软件是这么做的。

其次就是经过简单加密再保存,对密码进行某种加密之后再进行存储,或者是对存放着密码的文件进行加密。这些加密算法是能通过密文推算出明文的,如果被获知了加密算法之后,就很可能被逆出密码。

最后相对来说最安全的算是保存密码的hash值了,因为是不能通过hash值推算出密码的明文的,只能“暴力”破解。

2.6 密码取回的问题

大家都知道很多系统都有在忘记密码时找回密码的功能,很多系统都想方设法去提高用户密码的安全性,但却在找回密码这里显得很弱智。常见的问题有如下表1。

这样存在的问题有:

·这些信息很容易被别人获取,或者答案的数量非常有限;

·这些信息基本上都是个人永远不会改变的事实;

·用户经常在多个网站上面使用相同的问题和答案。;

·使用过程中用户会更改系统的密码,却不会去更换这些问题;

·系统都会预先设置好了问题,而用户是不能修改这些问题的(不能自定义问题);

·这些答案基本都是明文保存在数据库里面的。

3. 破解的欲望与手段

本文不是探讨怎么样破解密码,只是进行一个简单的总结而已。破解密码的工具可以说是不计其数了,比较著名的有Cain&Abel、L0phtcrack、John the Ripper等等。大概很多朋友都尝试过彩虹表的厉害了,破解一个14位3种字符组合的密码也不过3分钟。

为什么会有人去破解密码?有人认为这是一个游戏,有人认为这是一个挑战,有人说为了赢得尊重,有人认为这是在犯罪,有人为了钱,也有人只是为了偷窥。这些事情每天都在发生,但不管是为了什么,只要成功过一次之后,你就会更想去破解它,并且会尝试使用不同的方法去破解它。这是一种欲望,一而再,再而三。于是“hacker”就诞生了,hacker源于欲望。

破解密码的方法从技术上可以分为“在线破解”和“离线破解”,还有一种非技术的手段是社会工程学。

3.1 在线破解

利端:不需要获得密码的密文或hash值,可以直接对目标系统进行猜测或暴力破解。

弊端:容易引起防火墙等防护系统的报警甚至屏蔽掉你的IP地址,或者目标系统有密码错误数次的限制,或者有高强度的验证码的限制。

在线字符列表生成器:http://www.wordlistgenerator.net/图3,或者直接下载字符列表:http://wordlist.sourceforge.net/图4、http://wordlist.com/图5.

3.2 离线破解

利端:不需要考虑在线破解的弊端问题、司法问题,而且理论上是100%可以把密码的明文破解出来。

弊端:必须先想办法获得密码的密文或HASH值,必须弄清楚加密算法或散列算法。

下载彩虹表:

http://rainbowtables.shmoo.com/

http://ophcrack.sourceforge.net/tables.php

http://www.freerainbowtables.com/en/tables/

3.3 非技术破解

上面的两种方法都是基于电脑技术,大家可不要忽略了一种更加邪恶的手段——社会工程学,通俗来说这是一些欺骗手段,取人密码于千里之外,当然再加上一些技术手段的话就更加完美了。

破解者可能会伪装成服务提供商(域名、空间、QQ、E-mail、移动、电信、联通等等各种类型的服务提供商)的技术服务人员,给你发送欺骗邮件(E-mail的发件人地址是可以伪装的),或者是伪装成警察用“110”这个号码给你打电话(听说电话号码也是可以伪装),“119”、“120”都可以用,这里有一个公式参考:

4. 如何加强你的密码

4.1 随机化

随机就是不能够预测、没有规律的,其实要获得真正随机的结果也是有些难度的,大家可能认为让电脑自动生成一些字符不就是随机的了吗?当然不是,电脑生成的随机数也是在利用某种算法得出来的,虽然我们看起来这些字符似乎没什么规律,因为我们不清楚电脑是怎么产生这些字符的,只要我们明白电脑使用的是什么算法,也许我们也能够推算出下一个字符是什么了。

那么我们闭着眼睛随意乱敲键盘得到的是不是随机的字符吗?可能有些人还是习惯于敲键盘中间的字符,而很少敲到键盘两边的字符。由于人类的习惯会影响到随机的结果。但随机性终究也是提高密码安全度的一种方法。MD5值算不算呢?

还好几乎所有系统的密码验证不是对就是错,还没有系统会提示你的密码有70%是错的。

4.2 多元化

其实除了采用的数字和字母之外,我们还是很多字符可以选择来做密码的,如表2。很多地区或国家都有自己的语言和文字,如果系统能够支持多种类型的字符来做密码的话,那么将会大大提高密码的安全性。目前,一些密码字典生成器、彩虹表所能支持的字符类型还是非常少的,如果我们能够在密码里面加上一些的话,那破解的成功率将是非常低的。目前很多输入法的软键盘功能都支持输入表2各种类型的字符。

其中用“空格”来做密码就是一个很好的选择,它方便输入、记忆(就算你要把密码写在纸上也不需要把空格写出来),这能有效地提高密码的强度,但是好像很少有人这样考虑过,也许是有空格的密码不易被破解出来,就算能破解出来也可能让破解者产生迷惑。有人说用“空格”做密码唯一的缺点是在敲打空格键的时候发出的声音与其他的键不同,也许有人会用听力破解。

这些字符我们可以灵活使用,如利用1337语言,就是Leet,这词源于英语的elite(义:精英),由elite转为eleet后再转变为leet,又称黑客语,是一种发源于欧美地区的BBS、在线游戏和黑客社群所使用的文字书写方式。

通常是把拉丁字母转变成数字或是特殊符号,例如E写成3、A写成@等;或是将单字写成同音的字母或数字,如to写成2、for写成4等等,参考图6。

4.3 长再长

加强密码安全性的第三个重点就是加长密码,增加密码的长度并不意味着难以记忆,而是相反,可能长密码更加容易记忆。很多系统在你设置密码的时候都提供一个“密码提示”的功能,这个功能就是用于长密码情况下。你可以设置一个类似33位的长密码:“Merry Christmas&happy to year!”,并不难记忆啊,还可以加几颗★★。

如果你真的担心难以记忆的话,建议你使用古诗密码或音乐密码;或者使用场景记忆法,就是使用看到就能想起来的东西作为密码。前提你不能泄露你的偏好。另外还可以寻找一些相关的单词作为密码:http://www.rhymezone.com/

4.4 时间与历史

时间很神奇,历史很美妙。密码使用的“时间”与其“历史”却是人们很容易忽略的两点,可能很少有人会去考虑一个密码应该用多久,能否重复使用。但是如果你知道有人一直在尝试破解你的密码,而且经过一段时间后就一定会被破解出来,在一段时间后你会不会改密码呢?

如果大家能够养成改密码就像吃饭一样的习惯,那系统的安全性也将会提高很多。这里建议大家至少3个月要改一次密码,绝对不要重复使用一个密码。

4.5 其他技巧

再介绍一些设置强密码又容易记忆的技巧,再次说明空格是很好用的,如表3。

4.6 评估你的密码

如果想要评估一下你密码的安全性,那么请看看以下问题,如果你的密码到达了以下问题之中9项以上的肯定,那么恭喜你。但是再好的密码也不需留恋它,使用了一段时间后都要毫不犹豫地更换它。

1)你的密码是否到达15位的长度?

2)你的密码是否超过3种类型以上的字符组合?

3)你的密码是否包含了3块以上的随机信息?

4)你的密码是否完全没有包含个人信息?

5)在搜索引擎中搜索你的密码是否没有任何结果?

6)你的密码是否只是你一个人知道?

7)你是否不用查找就能输入你的密码?

8)如果你把密码存在某个地方,你能确保那个地方安全吗?

9)你的密码使用时间是否不会超过6个月?

10)你的密码是否没有在其他地方使用过?

11)你是否可以很快地输入你的密码而不会有错?

5. 展望下一代密码

传统的密码已经被证实不安全了,还有一次性临时密码、加密狗都可以被破解或计算出来,也许在未来超级计算机的威力之下,破解一个3000位的无规则密码也只需要3秒钟时间,那么我们还需要考虑使用“字符”来做密码吗?

于是新的密码品种——下一代密码就应运而生了,我给它取个名字叫NGP(Next Generation Password),有生物密码,如视网膜识别、指纹识别、DNA识别、血型识别、性别识别、感情识别、心跳脉搏识别;还有物理密码,如重量识别、温度识别、湿度识别、语音识别、光识别、颜色识别、气体识别、气味识别等等都可以起到控制开关的作用。

想象一下未来只有在特定的重量、温度和湿度的情况下,再加上视网膜、指纹、语音、DNA、血型识别通过之后才能打开保险箱,多牛气。当然这只是一个幻想,能不能实现还要依靠科学家们的努力。

不过,现在也已经有一些系统使用多重认证的方式了,就是不仅仅需要密码,还需要认证你的个人特征和你持有的物理设备才能通过。比如先要检测你的指纹或视网膜,通过之后还需要插入你的USB Key或者刷卡,最后再输入密码。相信,即使在不遥远的将来,密码也不会被淘汰,它只会不断地更换自己存在的方式而已。

摘要：本文主要探讨了默认密码、弱密码、系统保存密码的缺陷、密码取回等等问题,以及简单介绍了在线破解、离线破解、非技术破解等等破解手段。同时,本文还提出一些加强我们的密码的方法,如密码字符随机化、字符多元化、加长密码的长度和其他一些设置密码的技巧。最后,给出了评估密码强度的方法并展望了下一代密码技术。

关键词：密码,口令,安全性

参考文献

安全密码的设置 篇9

随着信息技术的不断发展,信息已成为重要的战略资源,在现代社会的进程中发挥着举足轻重的作用。但在信息快速发展的同时,信息安全问题也日益彰显,特别是在国计民生的社会领域,网络所存在的安全问题已日益突出,如病毒感染、黑客攻击等,对社会经济发展、人们生产生活造成较大影响。对于信息安全技术,其主要涉及计算机、密码知识、网络架构和安全技术等。旨在通过采取有效的安全策略,实现网络信息的安全可靠的保护。

当前,网络安全领域的相关技术。

(1)防火墙技术。防火墙作为安全网关,构建在Internet与内部网络之间,实现对内网的有效控制。其实,防火墙系统主要的防护机制是决定外界可以访问哪些内部资源,反过来,内部人员可以访问哪些外界资源。也就是说,防火墙通过对相关信息的过滤、授权,实现对网络的安全保护。

(2)入侵检测技术。该技术作为一种主动防御技术,主要针对用户系统行为的监视、系统漏洞的设计,及系统数据完整性评估等功能,也就是说,入侵检测系统可以有效地实现对系统监视、审计、评估等工作,实现了对网络系统的主动保护。

(3)漏洞扫描技术。该技术主要针对主机的安全脆弱点的技术。通过查询相关的TCP/Ip端口,并收集某些特定的有用信息。该项技术的具体实现是依托于安全扫描程序。安全扫描程序可以对检测的数据进行分析,进而快速获取系统的脆弱点。

(4)加密技术。加密技术是最传统也是最有效的保护措施之一,主要针对信息加密。加密技术的特征非常突出,主要利用现代数据加密技术,实现对网络系统的安全保护。并且,加密数据的翻译,只有指定的用户、网络设备方可执行。

对于数据加密技术而言,其是网络安全的核心,承担着高安全性密码算法的寻找,以实现信息资源的加密。本文就针对网络安全中,两种典型加密算法进行研究。

2 相关理论

信息保密通信系统具体如图1所示。

基于通信行为不同,该网络系统可氛围发送方和接收方,就图1中所对应的相关内容定义如见表1。

3 典型的密码体制

3.1 对称密码体制

早在上世纪70年代,公钥密码还未出现。所以在那时,加密的方法就比较唯一,多采用对称加密。直至现在,对称加密的使用仍旧非常广泛。如图2所以,对称加密机制主要包括:密钥、加密算法、明文和密文等基本内容。

就对称密码体制而言,其最大的特点在于加密和解密使用一样的密钥。所以,这种密码机制比较单一,其保密性主要依托于密钥的保密性。并且,对称密码的保密性与加密算法的保密性无关,也就说,即使知道了解密算法和密文,也是无法获得明文。

在对称加密算法中,DES和AES算法使用广泛,具有典型的代表性,以下就这两种对称算法进行论述。

3.1.1 DES算法

DES算法采用了56位的密钥长度,并具有64位分组长度。对于该法,其主要将64位输入明文,并在一系列的运算处理下,得到64位的密文进行输出。在对密码解密时,采用同一密钥。其实,左右两边是在相互交换的机制下进行预输出。并且最后预输出的IP与相互作用,进而产生出密文(64位),在实际中,我们可以清楚地知道56位密钥的使用情况。密钥在相关置换作用之后,在循环和置换等操作下,获得一系列的子密钥。同时,在每次迭代置换的过程中,使用相同函数,且密钥的循环作用,使得子密钥之间是不相同的。

3.1.2 AES算法

对于AES算法,其具有高效加密和解密的突出优点。因为密钥的长度是128或192位,这样就可以在计算机的作用下,实现高速的处理。同时,该密码算法具有良好的安全性,在短时间内很难对其进行破译。

在AES算法中,以128位加密算法输入和输出。在输入分组中,是以字节为单位的矩阵来表示,且矩阵中的字节需要按照相关的规定进行排列,如从上之下,从左到右的方式排列。该分组复制到State数组后,在对进行加密或解密的过程中,都会对数组进行改变,直到State复制至输出矩阵。在对128位的密钥描述时,采用以字节为单位的矩阵。

3.2 非对称密码机制

3.2.1 非对称密码机制

在1976年,Hellman和Diffie首先引入非对称密码机制。在使用非对称密码机制时,用户需要选定以对密钥:一个密钥是可以公布的;另一个密钥则需要用户保密。所以,该密码体制又称之为公钥体制。其实,对于密码史而言,公钥体制的出现就是重要的里程碑。在公钥体制中,最著名的有AIGamal算法、Mc Eliece密码和RSA系统等内容。

与先前的密码学相比,公钥密码学存在一定的本质区别。(1)公钥算法是基于数学函数,而非先前的置换和替换。(2)公钥算法的使用,是针对非对称且独立的密钥,而传统的对称密码则只需要一个密钥。同时,公钥密码体制主要包括加密算法、公钥、明文、密文等。

3.2.2 RSA算法

在非对称加密算法中,RSA比较具有代表性。就当前的公钥密码算法来看,RSA是最成功的公钥密码算法之一。该算法的安全机制主要依托于计算机复杂性理论和数论中的相关素数求算。在至今的数学领域,仍未多项式时间内破解RSA的最佳方案。

3.3 其他典型密码机制

目前,传统密码机制以逐渐完善,并广泛适用于网络安全构建中。对于传统密码,均只有计算安全性和一次一密的特性。也就是说,网络攻击者的计算功能无限强大,理论是可以对该些密码系统进行破译。随着信息技术的不断发展,新兴智能计算的涌现,对传统密码的破译提供了更加有效的新途径。同时,诸多的职能生物算法已用于传统密码的破译,并取得了实际效果,这就对加密技术提出了更高的要求。

在面对传统密码技术日益暴露出缺陷时,DNA加密计算法出现在人们视线。目前,DNA加密技术已成为密码学的前言领域,是新时期的密码。对于DNA密码而言,其具有突出的特点,特别是以DNA为信息的载体,依托于现代生物技术为工具,很大程度上利用了DNA的相关有点。这样一来,可以有效的实现加密、认证等一系列密码学功能。其中,其主要包括DNA隐写、DNA加密和认证等三个方面。从DNA密码的本质来看,其实是数学密码的有益补充,对于夯固网络信息安全保护具有重要的现实意义。

3.4 算法分析

对于对称密码体制而言,其可以用于加解的密钥是相同的或是从加密密钥中推解而出。其中,典型的AES和DES算法的密钥长度均较短,密钥的可靠性较弱,以至于安全性能较低。但是,算法简单、加密速度快,计算开销小。要想构建更安全的网络安全体系,需要以安全方式进行密钥交换。

对于非对称密码体制而言,其可以用于加密的公钥,但与私钥是不相同的。此外,相比较于传统密钥,公钥和私钥的长度较长,在安全性能上交优越。对保密信息进行多人形式下的传输,所需的密钥组和数量相对较小。但是,加密算法相对比较复杂,计算的工作量较大。所以,私有密钥加密比公开密钥加密在解密时的速度要快。

4 结束语

在网络信息时代,网络技术的不断发展,也突显出日益严重的网络安全问题。在网络安全技术中,主要通过相关的加密技术,对信息资源进行安全保护。

其实,网络安全是相对的,也就是说,安全性越高其实现就越复杂。面对快速发展的计算机网络技术,新的网络安全问题也不断闯入人们的视野。同时,一些新的密码体制也不断的研发,构建起网络安全的防护墙。所以,审视计算机网络技术的发展,网络安全形势依旧非常严峻,促使我们不断地创新技术,迎接新的网络安全问题。

参考文献

[1]丁素英.密码算法在网络安全中的应用[J].潍坊学院学报,2008(03).

[2]Zhao G.Advances in modern information security and chaotic secure communication application research[J].Progress in Physics,2012(06).

[3]Malo K o.Application of cryptography technology in network information security[J].Technology Square,2011(09).

[4]薛冰.密码学在网络信息安全中的应用[J].福建电脑,2009(09).

[5]周溢辉.RSA算法在信息安全中的应用分析[J].科技信息(科技教研),2008(08).

[6]滕萍.云计算技术发展分析及其应用研究[J].信息网络安全,2012,(11):89-91.

安全密码的设置 篇10

本课的教学内容是浙教版必修第七章第三节《信息的安全和保护》，本节内容理论性、概念性较强，而且内容较多。在新课程实施第一轮施教中，按照教材一二三四的讲了一大堆，教师讲得津津有道，学生却是听得似懂非懂，有点云里雾里；在第二轮施教中不得不改进教学设计，在教学中以病毒为重点，通过演示几个典型病毒的传播过程及感染症状，了解病毒的工作原理及其破坏性，并让学生体验网上在线杀毒，学生学习兴趣已有较大提高，并对培养学生的信息安全意识和病毒查杀方法起到了很大的作用。然而，细细一想，没有病毒就安全了吗？病毒是信息安全的全部吗？考虑到高中学生网上购物、QQ使用等存在的一些实际安全问题，于是在第三轮教学中，我把密码安全作为信息安全教学的一个突破口。

●教学分析

教学目标分析。本课内容《信息的安全和保护》是高中信息技术必修模块的“信息技术与社会”中所涉及的主要内容，标准中提出要“树立信息安全意识，学会病毒防范、信息保护的基本方法，养成安全的信息活动习惯”，新课程标准对信息安全给予了相当的关注，本课对提高学生安全使用信息技术、提升信息素养具有重要意义。

教学内容分析。教材主要知识点为病毒的特征和种类、感染病毒的症状和病毒的防治、信息的保护方法。确实这部分内容是信息安全的重要领域，但是病毒不是信息安全的全部，而且教材内容概念性专业性较强，学生理解掌握起来较难，教材内容又略显陈旧。试想，即使学生了解了相关知识后，对现实的信息安全又有多大帮助。

学生情况分析。高中学生已有相当的信息技术基础，在电脑使用和网上冲浪时都遭遇过中毒、帐号被盗等，对信息安全或多或少有个了解，但一般是比较浅层次的，对于真正碰到的安全问题只能束手无策。另外一方面，学生对诸如密码破解、病毒和黑客木马有强烈的好奇感和神秘感，但苦于技术局限，不能真正体验信息安全的相关操作。

据以上对教学目标、教材和学生的分析，势必要求换个思路，改良我们的教学。在教材处理上，利用学生已有的知识和经验，要大胆调整，对教材进行增、删、换和合，即该补充的增、陈旧难懂的进行删和换、并进行总体教学整合；在教法设计上，改变对以教师为主，简单采用讲授法进行教学的模式，在活动中让学生充分参与体验、探究、讨论和展示；在策略运用上，教师要找到一个好的切入点，选择一个学生感兴趣、又能贴近学生实际生活的主题，因势利导，逐步推进教学。而这个切入点和突破口就是密码安全。

●教学流程

1. 问题引入，激发思考

【教师】今天，我们要学习的课题是密码。说起密码，其实大家都熟悉不过，谁能说说你在哪里用过密码。

【学生】你一言我一语，QQ密码，系统开机密码，保险箱密码。

【教师小结】信息时代我们经常在使用密码。开启保险箱要密码，银行里取款要密码，网上冲浪密码更多了，开机要CMOS密码，进入Windows系统要登录密码，上宽带网要拔号密码，进入QQ要密码，收发邮件要密码，网上购物要密码。然而，我们的密码安全吗？怎样的密码才算安全，今天我们将一起探讨密码的安全问题。

2. 问题探讨，逐步深入

问题1：什么样的密码是安全的

【教师布置任务】这是我们班级的通讯录，我准备把它放在FTP中，但不希望给其他班级的学生看，大家给“班级通讯录.xls”文件加把锁吧。

【学生活动】给“班级通讯录.xls”文件添加密码后，上传到班级FTP。一位学生演示给Excel文件加密的操作步骤。

【教师】利用“Advanced Office 2000Password Recovery”软件暴力破解其中一位学生的文档，结果显示如下图。

像这样的密码太容易破解，只花了一秒多的时间，尝试438540次就破解了，其实原因很简单，是因为密码太短。那么怎样的密码才算安全的呢？请同学们在QQ安全中心在线检测一下你的QQ密码的安全性。

【学生活动】在QQ安全中心（http://safe.qq.com/strategy/pswsafe.shtml）在线检测密码是否安全，并探索怎样的密码是安全的。

【教师拓展】（结合PPT课件展示）其实任何密码在理论上都是可以破解的，当需要很长时间才能破解时，就可以认为这密码是安全的。下面给大家一些关于密码安全的建议（演示过程中结合密码破解软件验证密码的长度、复杂度与暴力破解的次数和时间）。

尽量设置长密码，至少应该包括6个字符，理想情况是14个字符或更长。

组合大小写字母、数字和符号增加密码的复杂程度，避免顺序或重复的字符。举例，一位10位长的组合大小写和数字的密码破解的可能性将近有8.4*1017种，以每秒32万计，电脑需要不间断的破解8万年，这在现实中是没有任何意义的。（见上图）

不要在密码中出现如生日、身份证号码、电话号码、姓名等个人信息。

另外，很多系统为了防止别人进行暴力破解，也采取了一些安全措施，如ATM取款时如果三次输入错误，帐户就锁定了，而在网络中，经常会在输入密码时要求输入验证码。

问题2：怎样安全的输入密码，如何防止密码被盗

【教师】通过前面的讨论，我们已经知道怎样的密码是安全，但有了安全的密码就安全了吗？我们经常听说甚至亲身经历过QQ密码被盗，现在就以QQ软件为例，讨论如何正确的使用密码。先请同学们探究QQ的登录界面。

【学生任务】在QQ中查杀木马，输入密码时用数字键盘，并把自己的QQ密码设置得更为安全。

【教师补充】QQ医生是一款有效的QQ木马查杀软件；QQ数字键盘是为了防止木马记录键盘输入的密码，用数字模拟键盘代替键盘；QQ登录界面中那把金色的安全锁也是一种键盘加密保护技术。

【教师演示】通过采取以上的措施，QQ密码输入的安全性已经很高了，但实际上安全性依然很脆弱，用“QQ密码记录器”软件就可以轻松记录QQ密码。

问题3：还有哪些更为安全和先进的密码技术

【教师】即使有了一个安全的密码，定期查杀和更新杀毒软件，及时下载补丁程序，不随便打开来路不明的程序、游戏、邮件，但我们的系统还是不能保证安全。如果仅用于QQ聊天娱乐，那安全问题倒也罢了，但在网上支付等安全要求更高的应用时，那就不太让人放心了。难道我们就无能为力了吗，请同学们说说网上购物时采取的一些安全措施或者密码工具。

【多名学生】网上购物时用手机接收密码，用网上银行密码卡，用一个像U盘一样的小东西。

【教师补充】（在讲解中配合课件并出示口令卡、U盾、动态令牌等实物）

刚才同学们说的密码卡就是网上银行口令卡，在口令卡上印有一些密码，在支付时，电子银行系统会随机给出一组口令卡坐标，客户根据坐标从卡片中找到口令组合并输入，只有输入正确才能完成相关交易。

U盾，即USBkey，是网上银行的高级别安全工具，它外形酷似U盘，像一面盾牌，交易时须插入U盾，有了它就不用再担心黑客、假网站、木马病毒等各种风险。

此外还有动态口令、身份认证令牌、手机动态密码等密码安全工具。显然这些密码技术比单纯的密码更先进也更安全。

【教师引导】在现实中还有一些智能化的密码技术，童话故事里阿里巴巴的“芝麻开门”已经成为了现实，这种技术采用的就是生物识别技术，它包括指纹识别、掌形识别、虹膜识别、视网膜识别、声音识别等，大家自主在网上搜索其中的一项技术，然后向全班同学汇报你的学习结果。

【学生汇报】请四位同学分别汇报指纹识别、面部识别、视网膜识别、声音识别这四种生物识别技术。（如下图）

【教师补充】人有许多的生物特征，如指纹、声音、面容虹膜等都具有惟一性，生物识别技术就是对这些基本特征进行采集和分析，随着技术的不断成熟，它逐渐成为一种公认的身份认证技术，当然每种生物识别技术都有它的优点也有它的缺点。

3. 课堂小结，升华主题

【教师】今天我们探讨了怎样的密码是安全的，怎样安全的输入密码以及其他更为安全和先进的密码技术这三个问题。在一些间谍电影中经常可以看见一些密码破解高手，我们中国也有一位世界级的破解密码高手王小云，她破解了美国几个安全性较高的密码算法，如MD5密码算法，破解运算量达到2的80次方，即使采用现在最先进的巨型计算机，也要运算几万年以上才能破解，而她用普通的个人电脑，几分钟内就可以找到有效结果。但是这位高手，她可不是一名黑客，她的作用是促进科学家不断改进加密方法，让系统更安全。很多同学对破解有一种好奇，希望大家在网络社会中要学会保护自己，但不要利用技术去做不好的事，记住一句话，防人之心不可无，害人之心不可有。

●教学反思

本案例通过对教材进行加工与拓展，选择学生较为熟悉的密码作为突破口，通过对三个问题的逐层深入，学生在尝试探究、信息搜索、问题讨论、汇报交流、总结提升等多种活动形式中，亲身感受了信息安全的重要性及掌握了一些信息安全的技巧。学生学习兴趣浓厚，课堂上积极参与，对密码安全有了更深的切身体验，对先进的密码工具和生物识别技术也有了了解，取得了不错的教学效果。

网络密码认证安全研究 篇11

关键词：浏览器插件,密码认证,钩子技术,散列函数,网络钓鱼

随着网络的快速发展, 各种各样的黑客攻击层出不穷, 对用户和网络造成巨大的安全风险。由于绝大多数网站采用表单提交密码的方式认证用户身份, 进而为之提供个性化服务, 一旦黑客通过某些技术窃取用户密码等重要信息, 那么黑客便可以用户合法的身份登录窃取用户信息等资料。密码认证安全的研究有2个方向, 一是基于客户端, 二是有服务器端参与。目前, 国内基于客户端的研究较少, 研究领域集中在交互协议方面来保护认证密码安全, 如一次性密码认证协议[1];国外在密码认证安全领域的研究有PwdHash[2]、Spoofgard[3]和Spyblock[4]等。在服务器的参与下, 引进交互认证协议可以较好地保护用户认证密码的安全, 但实际中各服务站点不可能全部支持该协议。为此, 本文分析国外几种基于客户端研究的优、缺点, 提出一种浏览器插件形式的客户端密码认证安全方法。

1 网络攻击

1.1 弱密码攻击

面对众多的Web服务网站, 用户为了便于记忆, 通常对不同网站设置易记且相同的密码, 由于网站安全等级参差不齐, 所以当用户在某网站的认证密码被窃取后, 在其他网站的信息安全也可能遭到威胁。认证密码的复杂度在一定程度上影响用户在该网站的信息安全, 甚至是其他网站的信息安全, 虽然一些网站在用户登录认证时, 用MD5对用户的密码进行散列处理, 但通过离线的字典攻击, 用户的明文密码仍能被破解。

1.2 键盘记录攻击

为了窃取用户的密码等信息, 运行在用户主机上的恶意程序利用挂钩监控原理都具备键盘记录功能, 其能够记录用户按键信息或浏览器页面密码栏中的数据, 直接或间接发送给黑客, 从而使得黑客窃取用户的密码等重要信息。以木马攻击为例, 它是目前最常见的键盘记录的载体, 能够控制对方的鼠标、键盘等, 能够监视屏幕显示信息、文件传递信息, 控制对方信息的发送和接收等。

1.3 Java Script脚本攻击

在文档对象模型 (DOM) 和其他浏览器的帮助下, Java Script能够完善客户端功能和网页的外观, 使网页更具有吸引力、互动性和较快响应速度。但是Java Script超强的能力也会给用户带来许多不便及安全威胁。一方面, 它能降低用户上网体验, 如弹出广告窗口和篡改浏览器配置;另一方面, 它又能被黑客利用窃取用户的敏感信息, 例如钓鱼攻击[5]。特别是在钓鱼攻击中, 它常被用来伪装钓鱼网站迷惑用户, 从而使黑客能够成功诱骗用户密码等敏感信息。用此种攻击的方式有键盘监视、窃取表单域、“域重写”等。

1.4 网络钓鱼

网络钓鱼通常利用含有虚假链接的电子邮件引诱用户访问一些和真实站点外观几乎一样的Web站点来进行网络诈骗, 意图引诱受骗者泄露自己的私人资料, 如信用卡号、银行卡密码、身份证号等内容[5]。钓鱼网站为了增强自身的可信度通常采用一些脚本技术隐藏容易暴露的线索, 例如, 修改URL、制作虚假的SSL、修改状态栏等。另一种形式的钓鱼攻击 (Spear Phishing) 能够向特定的组织或其内部员工发送电子邮件, 这种攻击效率更高, 且不易被反钓鱼工具捕获。当黑客“控制”了用户访问网站的习惯后, 使得用户增强了对网站的信任, 那么钓鱼攻击的成功率就会大大提升。

网络中还有其他攻击, 如嗅探攻击、会话劫持、“域中毒”、ARP欺骗攻击等, 这些攻击需要服务器的参与。

2 理论基础及相关技术

越来越多的服务商选择B/S架构, 通过用户密码识别用户身份, 为用户提供个性化服务。由于用户密码是用户身份识别的惟一标识, 拥有该密码就意味着拥有该账户的合法身份, 因此用户密码成为黑客攻击的首要目标。

2.1 浏览器插件

浏览器插件BHO是微软公司推出的作为浏览器对第三方程序员开放交互接口的业界标准, 是实现特定接口的COM组件。借助于BHO, 可以编写一个进程内COM对象, 注册于注册表中Browser Helper Object键下, 这个对象在每次启动时都会加载该对象, 这样该对象就会在与之相同的上下文中运行, 并对可用的窗口和模块进行任何行动, 其通常以工具栏的形式出现在浏览器中。在Browser Helper Object键下列出的每一个CLSID, IE都会在相同的进程空间, 比如在浏览器中, 调用Co Create Instance来启动一个新的BHO实例。如果这个BHO已经注册了自己的CLSID并且实现了IObjectwithSite接口, 那么这个被IE启动的BHO就传递了一个指针给IE浏览器的I-WebBrowser2接口。

通过这个接口, BHO可以控制并收到来自IE浏览器的事件及行为, 比如“后退”“前进”“刷新”等。利用BeforeNavigate2事件获取IE当前加载的URL, 提交的Data, 并且可以控制是否继续刷新页面。程序员也可以用代码控制浏览器行为及当前页面DOM的数据, 比如用户在表单栏中的数据。此外, BHO还能够安装钩子以监控一些消息和动作。本文就是利用BHO这个特性安装钩子程序, 进而抵御键盘记录等恶意软件对用户密码的攻击。

2.2 钩子技术

钩子 (Hook) 是Windows平台上的一种Windows消息处理机制, 它可以设置子程监视指定窗口的某种消息。当特定的消息发出, 在没有到达目的窗口前, 钩子程序就先捕获该消息, 即钩子函数先得到控制权。这时钩子函数既可以加工处理 (改变) 该消息, 也可以不作处理而继续传递该消息, 还可以强制结束消息的传递或发送一个其他消息到目的地。根据钩子对消息监视范围的不同, 分为系统钩子和线程钩子2类, 且线程钩子的优先级别高于系统钩子, 线程钩子只能监视本进程中某个指定线程的事件或消息, 系统钩子监视系统中所有线程的事件或消息。钩子子程是一个应用程序定义的回调函数, 编写好相应的功能函数后, 利用Set Windows Hook Ex () 函数便可以指定钩子、监控事件及钩子类型等。为了不影响用户获取键盘消息, 本文采用线程钩子, 也就是线程钩子只监视浏览器页面内的击键消息。

2.3 散列算法

散列算法就是把任意长度的输入通过一个不可逆的散列算法, 变换成固定长度的输出。由于Hash算法是单向的, 一旦数据被转换, 就无法再以确定的方法获得其原始值, 因此, 除了应用于数字签名外, 也广泛应用于加密和解密技术, 典型的算法如MD5和SHA-1。理论上无法从散列值恢复出原文信息, 但黑客通常使用“跑字典”的方式来破解散列值, 其成功率较高。为此, 本文采用带密钥的散列函数hmac_md5 (pwd, key) 对用户密码进行散列, 从而提高抵抗“跑字典”攻击的能力。密钥key选择了当前站点域名作为哈希密钥。在钓鱼页面中, 输入的密码将会和钓鱼页面的域名进行哈希运算, 而在合法页面中的密码和合法页面的域名哈希, 由于二者域名不同, 因此哈希值也不同, 结合密码指示灯便可更直观地警示用户输入密码时是否安全。

3 设计体系及流程

其由一个继承IObjectWithSite的COM组件、一个作为IE工具栏加载的接口以及其他几个响应工具栏组件的模块组成, 2个窗口类实现CWindowImpl的接口来定义工具栏的外观和用户交互的界面, 见图1。

Warn Bar, 当用户提交表单时检查表单action的值是否改变, 如果改变则向用户提示;Reflection Wnd, CWindowImpl类实现了一个透明窗口, 用来将用户消息传递到弹出的警示窗口;Pwd Tool Bar, CWindowImpl类定义了密码助手在工具栏中出现的形式, 用户的预置信息便保存在其中, 最后存储在注册表中。Warn Bar需要Pwd Tool Bar的信息来决定密码指示灯的颜色。

当IE浏览器启动后, 它调用IObjectWithSite接口中的SetSite方法初始化密码助手, 密码助手收到一个指向网页浏览器对象的指针, 并通过ReflectionWnd和Pwd Tool Bar使密码助手不断检查内容浏览器事件。IE的DWebBrowserEvents2类导出BeforeNavigate2和Document Complete事件处理程序。因为BeforeNavigate2事件发生在navigate事件之前, 这就使得Warn Bar在浏览器跳转之前获取表单的URL并有机会取消跳转页面。当键盘钩子侦测到密码键或密码前缀时, 密码助手判定当前活动元件是否是密码型控件, 若不是, 则警告用户;若是, 则密码助手截取所有键盘输入的可打印字符, 直到焦点离开该密码型元件域。键入的字符将会存放在密码助手指定的内存中, 当侦测到焦点离开密码型元件域后, 然后结合预置信息对用户键入的密码进行散列加密运算, 并放在该地址的内存中。这样也允许用户在密码栏中回退、删除密码, 而不会导致数据出错, 也不会影响用户上网体验。

在用户提交表单之前, 密码栏中一直存放的是键盘钩子返回的伪字符串 (并不是用户在该网站的真实认证密码) 。当用户提交表单时, 密码助手便可利用BeforeNavigate2处理程序拦截提交事件。由于IE浏览器不允许密码助手在BeforeNavigate2处理程序中直接编辑表单数据, 因此就需要撤销原始BeforeNavigate2事件, 并创建一个含有用户真实密码数据的新BeforeNavigate2事件。密码助手包含这么一个数据结构, 即用于识别BeforeNavigate2事件是被密码助手撤销, 还是被用户撤销, 避免密码助手重复转换表单中的数据, 使之进入死循环。

4 功能测试与分析

在IE浏览器6.0上安装密码助手后, 经测试, 键盘记录软件、脚本捕获的是伪字符串。在钓鱼攻击中, 假定http://localhost/Tlogin.aspx为真实网站, http://localhost/Flogin.aspx为钓鱼网站, 输入相同的认证密码登陆后, 发现数据库中存放了2个不同的散列值, 结果符合开发初的构想。将国外2个同类软件与密码助手对比分析可以得出, 密码助手优于其他2个软件 (见表1) 。

总之, 本文旨在研究一种基于客户端的密码认证安全的方法, 利用底层钩子优先捕获击键事件, 而浏览器插件最后捕获页面事件的特性, 设计了一种能够有效保护用户认证密码, 使其不受本地键盘记录、网页脚本、网络钓鱼等攻击的插件。鉴于Web服务的不确定性, 本文的设计未与服务器进行信息交互, 所以其还不能抵御网络嗅探、会话劫持、“域中毒”等攻击, 这也是本课题以后要研究的内容。

参考文献

[1]Bin Li, Shaohai Hu.A practical one-time password authentication im-plement on Internet[C].Hangzhou, 2006.

[2]Blake Ross Collin, Jackson Nick, Miyake.Stronger Password Authenti-cation Using Browser Extensions[EB/OL].http://crypto.stanford.edu/Pwd-Hash, 2008-12-20.

[3]Neil Chou, Robert Ledesma.Client-side defense against web-based i-dentity theft webspoof[EB/OL].http://crypto.stanford.edu/webspoof, 2008-03-25.

[4]Collin Jackson, Dan Boneh, John Mitchell.Spyware Resistant Web Au-thentication Using Virtual Machines spyblock[EB/OL].http://crypto.stan-ford.edu/spyblock/spyblock-2.pdf, 2008-12-30.