加入我们
登录
论坛首页
问题求助
Win7主题
Rainmeter
搜索帖子
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
久久论坛
»
Win7 安全中心 / 杀毒软件
» 黑客窃取电脑密码的四种手段- 51cto
返回列表
发帖
SKyxiN
发短消息
MSN 聊天
加为好友
SKyxiN
当前离线
UID
16
帖子
628
精华
8
积分
2711
威望
672
天下币
811 枚
贡献
596
签到
3 天
人气
72 度
爱心
1 颗
阅读权限
150
在线时间
174 小时
注册时间
2009-4-7
最后登录
2012-10-22
Win7天下超级斑竹
UID
16
帖子
628
积分
2711
天下币
811 枚
贡献
596
签到
3 天
人气
72 度
爱心
1 颗
注册时间
2009-4-7
1
#
跳转到
»
倒序看帖
打印
字体大小:
t
T
发表于 2009-11-5 14:03
|
只看该作者
黑客窃取电脑密码的四种手段- 51cto
黑客
,
电脑
,
密码
,
手段
,
窃取
新闻来源:51cto
我们当然会想方设法来保护密码的安全,比如增加密码长度、使用复杂的语法以及特殊字符等等,这确实有助于增强密码的安全性,这些方法往往要求你每90天更改一次密码,但奇怪的是看不到什么明显的好处。坏家伙们通常会用四种基本的方法得到你的密码:
(A)直接询问,所谓的“钓鱼”和“社会工程学”的攻击仍然在进行,并且一直有效
(B)试着用字库来匹配提示框,希望碰到好运气
(C)获取加密之后的密码或哈希码,反过来进行解密
(D)使用keylogger等恶意软件在你在电脑中输入时获取密码
这四种情况不会因为你每隔90天更改了一次密码就从你身边走开。如果坏人们无法在几天内攻破哈希码(C),他很可能去寻找更容易的攻击目标。 攻击(B)也是速战速决型,坏人们通常只使用前几百个单词,如果无效的话马上就会转向其他更容易的猎物。如果(B)或(C)攻击成功,或者攻击者通过更简 单的(A)或(D)获知密码,那么他们平均只需要45天就足以把你的银行帐户弄得一干二净,或者把你的电子邮件地址变成发送垃圾邮件的据点。
在过去25年左右的时间里,密码过期的概念没有什么变化。信息安全技术人员、审计人员、PCI、ISO27002和COBIT等等的要求都保 持不变,但威胁已经改变了不少。通常,密码脆弱的用户只会用另一个脆弱的密码来替代。而强迫一个密码强度已经很高的用户更改密码最终反而会惹恼他而使用简 单的密码。
那么90天的密码更改周期到底有什么意义呢?有一个实际的好处。那就是如果有人有你的密码而他们想做的一切只是偷偷的阅读你的电子邮件,那么 你改变密码可以阻止他们永远这样做下去。定期更改密码并不能抵御那些想要窃取你的机密的恶意攻击者,但它确实能让你摆脱那些偷偷摸摸的潜入者或窥探者。没 错,这是好的。但是,这点好处是否值得去强迫用户去不嫌麻烦的每90天更改一次密码呢,我有些怀疑。
信息安全风险管理的主要工作应该是识别威胁和漏洞,然后选择对策。但是,如果选择的对策实际上并不太可能降低所识别的威胁的话,那么它在安全工作中也是于事无补的。
当然,各方提供的“最佳实践标准”和审计部门的专员们会迫使我们用它。
以下是评论:
我为一家财富500强企业引入了“每90天改变你的密码”的规则,我来做个解释。许多人在多个系统上使用相同的密码。我发现其中有一台系统允 许用户查看名称目录中隐藏在文本域中的哈希密码,这是产品本身的弱点,我们发现这个哈希算法很容易破解,于是立即改变了哈希算法并且做出了90天的规则, 这样能够确保密码哈希的持续清洁,并且鼓励员工在外部网站使用与企业内部不同的密码。
缓解攻击不会改变它的发生概率,但能改变攻击成功的可能性。你所做的假设中所有的密码窃贼都会在试上几次强力攻击后放弃,一般来说是这样,但 并不总是。你暗示我们(审计部门)看不到不断变化的威胁是不对的,每90天的周期仍然太长,考虑到今天的处理能力。你必须采取长度、复杂性、历史以及各种 各样的帐户锁定策略。
我一直认为密码更改间隔应该与当前的处理能力挂钩。随着计算能力提高,破解哈希生成彩虹表所花费的时间越来越短。想一想摩尔定律就明白了。我认为应该使用破解工具作为基准,算出一个现实的破解哈希密码所需要的时间,然后来确定到底需要多长时间来改变一次密码。
我不明白的是更改密码的要求变得越来越短。10年前,每年更改一次密码在许多系统上已经足够了。最近90天是标准。现在我相信很快会看到60天、30天。
用户有时会共享密码。这是很让人头疼的,而周期性更改密码的要求会有助于解决这个问题。我赞同强制更改密码,即使这有可能导致用户采取低强度 的密码,但要教给他们良好的密码生成方法,还要给他们提供工具。你可以每年自己破解密码哈希几次,这会迫使那些密码强度弱的用户转变态度。许多用户使用默 认密码,如果你有5000个用户,其中至少有100人使用相同的密码。破解密码总是很容易,但重要的是培训好重要的用户,或者给他们工具。
收藏
分享
mxb78
发短消息
加为好友
mxb78
当前离线
UID
43357
帖子
22
精华
0
积分
22
威望
0
天下币
4 枚
贡献
0
签到
0 天
人气
0 度
爱心
0 颗
阅读权限
20
在线时间
0 小时
注册时间
2009-11-5
最后登录
2009-11-5
正式会员
UID
43357
帖子
22
积分
22
天下币
4 枚
贡献
0
签到
0 天
人气
0 度
爱心
0 颗
注册时间
2009-11-5
2
#
发表于 2009-11-5 14:49
|
只看该作者
看了这个以后 必须顶
TOP
lsy13626253578
发短消息
加为好友
lsy13626253578
当前离线
UID
56582
帖子
26
精华
0
积分
33
威望
0
天下币
71 枚
贡献
0
签到
0 天
人气
0 度
爱心
0 颗
阅读权限
20
在线时间
3 小时
注册时间
2009-11-21
最后登录
2009-12-29
正式会员
UID
56582
帖子
26
积分
33
天下币
71 枚
贡献
0
签到
0 天
人气
0 度
爱心
0 颗
注册时间
2009-11-21
3
#
发表于 2009-11-28 21:56
|
只看该作者
一种是偷 偷存在机子里的存密码的文件
一种是骗 用假的界面 网站等等骗用户自己输入
是这样吧
TOP
zhoujy117
发短消息
加为好友
zhoujy117
(企鹅)
当前离线
UID
75129
帖子
5
精华
0
积分
7
威望
0
天下币
20 枚
贡献
0
签到
0 天
人气
0 度
爱心
0 颗
阅读权限
20
性别
男
在线时间
0 小时
注册时间
2009-12-18
最后登录
2009-12-18
正式会员
UID
75129
帖子
5
积分
7
天下币
20 枚
贡献
0
签到
0 天
人气
0 度
爱心
0 颗
性别
男
注册时间
2009-12-18
4
#
发表于 2009-12-18 09:54
|
只看该作者
记得刚学电脑的时候就知道这些了
TOP
子非鱼
发短消息
加为好友
子非鱼
当前离线
UID
74492
帖子
171
精华
0
积分
287
威望
0
天下币
619 枚
贡献
0
签到
18 天
人气
0 度
爱心
0 颗
阅读权限
20
在线时间
23 小时
注册时间
2009-12-17
最后登录
2010-1-5
正式会员
UID
74492
帖子
171
积分
287
天下币
619 枚
贡献
0
签到
18 天
人气
0 度
爱心
0 颗
注册时间
2009-12-17
5
#
发表于 2009-12-18 12:11
|
只看该作者
密码的确要时时改
当哥一个人在仰望天空的时候,哥并不想寻找什么,哥只是寂寞
TOP
返回列表
Win8论坛 -Windows8专区
Windows8 综合交流区
Win8 抢先预览/综合讨论
Windows7 - 系统主分区
Win7 问题求助 / 互帮互助
*论坛合作活动区*
Win7 综合讨论 / 技术交流
Win7 软件下载 / 软件应用
驱动程序,硬件驱动交流
Win7 安全中心 / 杀毒软件
Win7 IT资讯 / 合作板块
Bigoo大硕-秀我桌面大赛专版(已结束)
Windows7 主题下载、系统美化专区
Win7 秀我桌面 / 美化展示
秀我桌面活动专版
Win7 主题下载 / 主题发布
微软官方Win7个性化资源下载
Win7 桌面壁纸 / 绚丽壁纸
Win7 美化资源 / 美化相关
Win7 美化技术交流 / 美化问题答疑
Win7 系统美化大赛专版 (未开放)
Win7天下论坛 - 数码\硬件技术交流
笔记本频道
台式机论坛
手机乐园
数码产品
Win7天下论坛 -综合娱乐
贴图、美图
网游、单机
Windows7 下游戏体验
新人报道
哥、姐 很寂寞 - 疯狂灌水区
同城交友
Win7天下论坛 -管理中心
论坛公告
申请建议
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
领取红包
账号发放中心