| 3.
口令的常见问题
许多人认为口令是比较弱的安全机制。用户倾向于使用容易猜测的口令(如配偶的名字、生日、球队)。随机产生的口令难以记忆所以用户就会把它们写在纸上,这样就有丢失和泄漏的可能。其它弱点还包括通过偷窃口令、偷看键盘敲击以及利用共享口令冒充用户。黑客或内部员工非法使用口令的现象最值得关注。应该探索使用诸如智能卡、记忆令牌、生物识别(语音认证)以及数字签名验证这样的高级认证手段。
很长时间以来,口令系统一直用于提供计算机系统的安全保护。口令系统集成在很多操作系统当中,用户和系统管理员对它们都很熟悉。当它们被适当地部署在受到控制的环境中时,它们能够提供有效的安全保护。
口令系统的安全性取决于保持口令的秘密性。不幸的是,有很多种情况能够泄漏这些秘密。这些途径包括猜测和发现口令、将口令告诉别人、电子监控和访问口令文件。
猜测和发现口令
如果由用户自己选择口令,他们倾向于选择容易记忆的口令,这些口令通常也易于猜测。孩子、宠物或自己喜爱的球队的名字经常被使用。另一方面,设定的口令难于记忆,所以用户总是会把它们写下来。许多计算机系统交货时都有预设的管理帐户。因为这些口令是标准的所以如果安全管理员不修改默认口令它们就容易被“猜到”。另一种获知口令的方法是观察别人输入口令或个人身份号。这样的偷看者可能是同屋的人也可能是在远处使用望远镜的人。
将口令告诉别人
用户可能会共享口令。他们可能将口令给同事以便共享文件。另外,人们也可能被诱骗泄漏口令。这种方式被称为“人际工程”。
电子监控
当口令被传送到计算机系统时会被电子监控。这可以发生在传送口令的网络中也可以发生在计算机系统本身。简单的对口令进行加密不能解决这个问题,因为对同样的口令加密会得到同样的密文,密文本身就变成了口令所以是可重复的。
访问口令文件
如果口令文件没有强有力的访问控制保护,文件就会被下载。口令文件通常会有单向加密保护来防止系统管理员或黑客(在成功访问到口令文件的情况下)得到口令。即使口令文件得到加密保护,但是如果文件被下载仍然能够通过蛮力攻击(比如通过加密英语单词并将结果和文件进行比较)获得口令。单向加密算法仅仅提供对数据的加密。得到的密文不能被解密。当口令被输入进系统后,口令被单向加密并将结果和储存的密文相比较。
|
