口令安全问题形成的对口令认证中的威胁有哪些
口令安全问题形成的对口令认证中的威胁有以下这些:
网络数据流窃听:由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者很容易的通过窃听网络数据,分辨出某种特定系统的认证数据,并提取出用户名和口令。
认证信息截取/重放:有些系统会将认证信息进行简单加密后进行传输,如果攻击者无法用网络数据流窃听方式推算出口令,将使用截取/重放方式,再进行分辨和提取。重放过程会形成重放攻击,破坏认证的正确性。
字典攻击:大多数用户习惯使用有意义的单词字符或数字作为口令,如名字、生日;某些攻击者会使用字典中的单词来尝试用户的口令。另外,口令一般是经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击,这也是黑客最常用的手段之一。所以大多数系统都建议用户在口令中加入特殊字符,以增加口令的安全性。
穷举尝试:也叫暴力破解,这是一种属于字典攻击的特殊攻击方式,它使用字符串的全集作为字典,然后穷举尝试进行猜测。如果用户的口令较短,则很容易被穷举出来,因而很多系统都建议用户使用较长的口令,最好采用数字、字符混合的方式并加入特殊字符。
窥探口令:攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。常用的方式之一是利用按键记录软件,它是一种间谍软件,以木马方式值入到用户的计算机后,可以偷偷地记录下用户的每次按键动作,并按预定的计划把收集到的信息通过电子邮件等方式发送出去。
骗取口令:攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令。这属于社会工程学威胁,是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已呈迅速上升甚至滥用的趋势。
垃圾搜索:攻击者通过搜索被攻击者的废弃物,得到与被攻击系统有关的信息。