【口令安全系列之一】帶你認識弱口令的前世今生

發(fā)布時(shí)間： 2016-01-04 15:24:40  

分享到：

世界上本沒(méi)有弱口令，使用的人多了，也就成了弱口令。——題記

在現代社會(huì )，隨著(zhù)信息化和互聯(lián)網(wǎng)化的不斷發(fā)展，用戶(hù)口令作為鑒別用戶(hù)身份的重要手段已經(jīng)滲透到生活的方方面面，無(wú)論是日常辦公、社交娛樂(lè )還是網(wǎng)上購物甚至外出旅游，我們在享受各種應用帶來(lái)的便利的同時(shí)，也往往需要和各種各樣的賬號口令打交道，因此口令安全在保障個(gè)人和組織的信息安全方面有著(zhù)重大的意義，了解弱口令的產(chǎn)生能夠有效幫助大家提高安全意識，提高口令的安全性和信息安全水平。

一、弱口令的起源

“天王蓋地虎”，“寶塔鎮河妖”這兩句對話(huà)大家想必耳熟能詳，這是早年江湖匪幫用來(lái)確認彼此身份的黑話(huà)，這種某個(gè)團體通過(guò)事先約定的對話(huà)方式來(lái)確定雙方身份的方法最早應用于軍隊等特殊機構，后來(lái)作為驗證身份的方法被廣泛使用，可以說(shuō)也就是現在信息系統中賬號口令的前身。正是由于古代采用口述信息的方法來(lái)驗證，所以這些預先約定好的信息通常被稱(chēng)為“口令”，即使現代社會(huì )已經(jīng)很少使用口試來(lái)提供驗證身份的信息，這些信息仍然沿用口令這個(gè)名稱(chēng)，我們通常說(shuō)的“密碼”其實(shí)在專(zhuān)業(yè)領(lǐng)域應該被稱(chēng)為“口令”。

既然口令是驗證身份的一種信息，那么當有人希望冒充他人身份來(lái)獲取進(jìn)行行為或謀取利益的時(shí)候，通過(guò)使用對方的口令來(lái)驗證就是一種很自然會(huì )想到的方式。在古代，通常通過(guò)間諜、竊聽(tīng)等方式來(lái)獲得他人的口令，而在現代社會(huì )，由于信息系統的特點(diǎn)，口令猜測則成為了一種可行和有效的方式。

口令猜測攻擊是利用信息系統可以進(jìn)行自動(dòng)化身份驗證的特點(diǎn)，采用手工或自動(dòng)化工具多次嘗試目標用戶(hù)可能使用的口令，直到身份驗證成功為止的一種攻擊方式?？诹畈聹y攻擊最初的理論依據是由于信息系統組成口令的字符集是有限，因此只要采用窮舉法的方式理論上一定能夠找出正確的口令，也就是常說(shuō)的暴力破解攻擊。但是隨著(zhù)口令長(cháng)度的增加，如果僅僅依靠窮舉法來(lái)進(jìn)行口令猜測，完成口令猜測花費的時(shí)間也會(huì )大大增加，當口令猜測花費的時(shí)間長(cháng)到一定的程度時(shí)，由于無(wú)法及時(shí)獲取口令或者投入過(guò)大很可能會(huì )導致攻擊行為失去了原本的意義。為了解決這個(gè)問(wèn)題，人們對口令猜測的結果進(jìn)行了研究，發(fā)現有許多口令是經(jīng)常被使用的，在進(jìn)行暴力破解時(shí)如果先嘗試這些口令，則有很大的可能性在較短的時(shí)間內成功完成身份驗證。于是，人們將這些口令總結出來(lái)，形成一系列優(yōu)先嘗試的口令集合，也被稱(chēng)為“口令字典”，而這些字典中的口令由于容易受到口令猜測攻擊，最終被稱(chēng)為“弱口令”。

二、常見(jiàn)的弱口令

了解了弱口令的來(lái)源，那么我們不禁想要問(wèn)，什么樣的口令算是弱口令呢？其實(shí)這個(gè)問(wèn)題在業(yè)界還沒(méi)有非常統一和明確的定義，不同級別和大小的字典庫收錄的弱口令數量并不相同，針對不同背景、環(huán)境的使用人群定義出的弱口令也會(huì )有所不同。雖然弱口令并沒(méi)有嚴格統一的定義，但從弱口令的起源來(lái)看，我們可以看出弱口令通常有兩個(gè)特點(diǎn)之一：1）使用窮舉法進(jìn)行暴力的難度低2）容易被猜測。

從窮舉法的特點(diǎn)來(lái)看，口令包含的位數越少，包含的字符類(lèi)型越少，則破解的難度越低，如純數字的口令破解的難度低于數字、字母混合口令，而暴力破解6位口令需要花費的時(shí)間遠小于破解8位口令花費的時(shí)間。因此，通?？诹铋L(cháng)度過(guò)短或僅包含單一類(lèi)別字符的口令被認為是弱口令。

以下為某測試機構測試的本地破解需要的時(shí)間，可以看出口令長(cháng)度和復雜度對于暴力破解難度的影響程度非常明顯，當口令長(cháng)度過(guò)短或包含的字符類(lèi)型過(guò)少時(shí)破解口令花費的時(shí)間非常少，即使使用窮舉法也不難破解，所以都被認為是弱口令。雖然實(shí)際環(huán)境中遠程破解的情況遠多于本地破解，而遠程破解花費的時(shí)間通常也會(huì )比本地破解高許多，但口令復雜度對于口令破解時(shí)間的影響是基本一致的。因此以下數據還是比較具有參考意義。

然而，僅僅通過(guò)口令的長(cháng)度和復雜度來(lái)判斷弱口令是不準確的，一個(gè)好的弱口令字典還會(huì )加入大量的常用口令，而這些口令由于使用范圍較廣，口令猜測的成功率往往較高。這些常用口令通常是一些常見(jiàn)的可猜測的字符串或者由這些字符串組成，常見(jiàn)組成弱口令的元素如下：

●連續或重復的數字，如123、123456、987654、111、222333等；

●連續或重復的字母，如aaa、abc、abcdef、zyx等；

●鍵盤(pán)上常見(jiàn)的連續按鍵，如：1qaz@wsx、qwert、asdfghjkl;、！@#、147258369（數字鍵盤(pán)）等；

●日期或年份，如800128（生日）、2012、19251120等；

●與用戶(hù)相關(guān)的名稱(chēng)信息，如newdoone（公司名稱(chēng)）、shaoyuanming（姓名全拼）、sym（姓名縮寫(xiě)）、oa（產(chǎn)品名稱(chēng)）、admin（用戶(hù)名）、手機號等；

●具有特殊含義的字符串，如520、1314、woaini；

●其他常用的字符串：root、abc123！、administrator、test等。

以上元素被許多人用來(lái)構成好記的口令，而攻擊者也會(huì )使用上述素材相互組合來(lái)生成弱口令字典。如newdoone123（公司名稱(chēng)+連續數字）、abc!@#（連續字母+鍵盤(pán)按鍵）、asdf520（鍵盤(pán)按鍵+特殊含義字符）、shaoyuanming2012（用戶(hù)名+年份）等，符合上述規律的都可以認為是弱口令。

三、設置強口令

使用弱口令的危害不言而喻，在了解了弱口令的起源和常見(jiàn)弱口令之后，大家是不是想知道怎樣才能設置一個(gè)不易破解的口令呢？結合上一章節的內容，我們對設置強口令的要求來(lái)做一個(gè)總結，如果設置的口令滿(mǎn)足以下要求，口令強度就能滿(mǎn)足我們大多數日常和辦公的要求了：

●口令長(cháng)度不小于8位，至少包含數字、大小寫(xiě)字母、符號中的三類(lèi)；

●口令不得包含三個(gè)以上連續的數字或字母，包括正序和倒序（如包含abc、123、987、zyx）；

●不同字符總數不小于4，（如1122AA 算3 個(gè)字符，111111算一個(gè)字符）；

●口令不得為帳號一部分或包含賬號；

●口令不應包含root、admin、公司名稱(chēng)、產(chǎn)品名稱(chēng)、姓名、手機號等常見(jiàn)的弱口令元素；

●不得使用常見(jiàn)的鍵盤(pán)按鍵位置口令：1qaz2wsx，1qaz@WSX，!QAZ2wsx等。

在完成口令設置以后可以到以下網(wǎng)址測試一下口令被破解的時(shí)間：

https://howsecureismypassword.net/

輸入設置的口令，可以看到破解口令需要的時(shí)間和建議：

看完了今天的資訊，也許有人會(huì )問(wèn)，我也知道弱口令的危害，但是設置太強的口令我又記不住怎么辦呢？敬請期待口令安全系列之二——設置一個(gè)強大又好記的口令。