NISP 一级 | 5.5 账户口令安全
关注这个证书的其他相关笔记:NISP 一级 —— 考证笔记合集-CSDN博客
0x01:账户口令安全威胁
当用户在使用各种应用时,需通过账户和口令来验证身份从而访问某些资源,因此,账号口令的安全性非常重要。当前攻击者窃取用户口令的方式主要有以下三种。
-
暴力破解
-
键盘记录木马
-
屏幕快照木马
0x0101:暴力破解
暴力破解又称口令穷举,就是通过计算机对所有可能的口令组合进行穷举尝试。如果攻击者已知用户账户,用户的口令又比较简单,例如简单的数字组合,攻击者使用暴力破解工具可以很快破译口令。因此在一些安全性较高的系统,如网银系统,会限制口令的输入次数,降低暴力破解口令的成功率。
0x0102:键盘记录木马
如果用户的计算机被植入键盘记录木马,当用户通过键盘输入口令时,键盘记录木马程序会记住用户输入的口令,然后木马程序通过自带邮件发送功能把记录的口令发送到攻击者指定的邮箱。
0x0103:屏幕快照木马
如果用户的计算机被植入屏幕快照木马,木马程序会通过屏幕快照将用户的登录界面连续保存为两张黑白图片,然后通过自带的发送模块将图片发送到指定邮箱。攻击者通过对照图片中鼠标的点击位置,就能破译出用户账号和口令。
0x02:账号口令安全防护
用户在设置账户的口令时,应遵循以下原则:
-
严禁使用空口令
-
严禁使用与账号相同或相似的口令
-
不要设置简单字母和数字组成的口令(如 password1)
-
不要设置短于 6 个字符或仅包含字母或数字的口令
-
不要使用与个人有关的信息作为口令内容,如生日、身份证号码、亲人或者伴侣的姓名、宿舍号等
为了保证口令的安全性,建议用户每隔一段时间更新一次账号口令。如果用户是在公共场所使用计算机,上网,登录账户时不要选择保存口令和自动登录,离开时要清除使用过的记录。