口令安全系列之二——帶你見(jiàn)證強口令的誕生

發(fā)布時(shí)間： 2016-01-11 11:42:18  

分享到：

在上一期中，我們介紹了弱口令的前世今生，相信大家已經(jīng)了解了弱口令的產(chǎn)生以及一個(gè)強壯口令的判斷標準。然而，很多人不禁會(huì )提出這樣的疑問(wèn)：我們要維護那么多的賬號口令，如果每個(gè)口令都設置的比較復雜，怎么能記得住呢？本期信息安全資訊就來(lái)給大家介紹一些設置好用又好記的口令的方法。

一、口令分級

考慮到現代社會(huì )各類(lèi)賬號之間往往具有許多的關(guān)聯(lián)性，如公司的郵箱賬號和OA賬號或其他辦公系統賬號是一樣的，某個(gè)個(gè)人郵箱可能被作用于多個(gè)常用網(wǎng)站的用戶(hù)。因此，當攻擊者獲取了某個(gè)用戶(hù)賬號和口令以后，可能會(huì )將該賬號口令嘗試登錄多個(gè)常用的網(wǎng)站或系統以達到利益最大化。要真正避免上述情況的發(fā)生，只有為每一個(gè)系統配置不同的口令才能做到，然而實(shí)際生活中幾乎沒(méi)有人能夠真正記住那么多數量的口令。因此，賬號口令進(jìn)行分類(lèi)，針對不同類(lèi)別的賬號設置不同級別的口令成為了一種折衷和可行的方式。

根據賬號口令泄露可能產(chǎn)生的風(fēng)險程度，我們可以把賬號口令分為重要、中等、一般三個(gè)不同的級別，針對每個(gè)級別設計不同的口令，這樣我們就能夠在只記錄少量口令的情況下降低口令泄露帶來(lái)的風(fēng)險。

上述分級方式，我們只需要記錄5~6個(gè)口令即可滿(mǎn)足日常的需求，在實(shí)際使用的時(shí)候只要確認一下系統的級別，最多通過(guò)兩到三次的嘗試即可正常登錄系統。采用上述分級方式設計口令通常重要級別的越高的口令，使用的范圍越小，泄露的風(fēng)險也越小，結合口令復雜度要求就能夠很好的保護口令安全。

二、強口令設計技巧

通過(guò)口令分級的方式能夠比較好的降低我們需要記憶的口令數量，但是記憶5~6個(gè)復雜口令依然不是一件容易的事，如何將口令設置的又強又好記呢？這里給大家介紹一些技巧。

1）選取合適的元素

在上一期中我們已經(jīng)了解了黑客在建立弱口令字典的時(shí)候首先會(huì )選取一些常用和易猜測的元素，如常見(jiàn)的數字字母組合、常見(jiàn)的按鍵位置組合、用戶(hù)名、公司名稱(chēng)、產(chǎn)品名稱(chēng)、日期年份等。因此，選取不易猜測的元素來(lái)組成我們的口令就是一個(gè)很關(guān)鍵的動(dòng)作，這些元素首先要易于記憶，同時(shí)要與自身和系統關(guān)聯(lián)性比較低，屬于攻擊者難以獲取或不易聯(lián)想的內容，滿(mǎn)足這兩個(gè)條件的元素就可以成為組成強口令的元素了。以下是一些比較合適組成口令的元素：

●興趣愛(ài)好，如喜愛(ài)的書(shū)、音樂(lè )、電影、電視劇、明星、美食、運動(dòng)等

●古詩(shī)詞、俗語(yǔ)、諺語(yǔ)、名人名言

●具有特殊意義的人名、地名，如兒時(shí)的玩伴、邂逅美好愛(ài)情的咖啡廳等

●心底的愿望：要減肥、周游世界、中彩票等

2）將元素轉化為口令

選取好合適元素之后，我們就需要將元素轉化成口令，這里推薦兩種轉化的方法，替換法和拼接法。

替換法的核心思路是將元素先轉化成拼音首字母，然后使用一些方式替換其中部分字母，形成不易猜測的口令，替換法通常用于較長(cháng)的元素，如古詩(shī)詞、俗語(yǔ)、諺語(yǔ)、名人名言等。常用的替換思路如下：

●用數字替換代表數字的字母

●用英文單詞替換部分詞語(yǔ)，建議替換部分變?yōu)榇髮?xiě)

●用拼音全拼替換某個(gè)首字母，建議替換部分變?yōu)榇髮?xiě)

●用某個(gè)相似的特殊符號代替某個(gè)首字母

●根據元素的語(yǔ)氣在句末增加標點(diǎn)符號。

靈活運用以上部分，就可以形成又好記又能滿(mǎn)足口令復雜度要求的口令。以“一行白鷺上青天”為元素的情況做例子，先將該詩(shī)句轉化為首字母yhblsqt，然后進(jìn)行替換：

使用第1、2、5條規則，用1替換字母y，使用SKY替換字母qt（青天），在句末加入句號，變?yōu)?ldquo;1hblsSKY.”

使用第1、3、4條規則，用1替換字母y，用TIAN替換字母t，用$替換字母s，變?yōu)?ldquo;1hbl$qTIAN”

以上兩個(gè)口令長(cháng)度均為10，包含數字、大小寫(xiě)字母、符號，口令復雜度高且只要記住古詩(shī)就很容易記住口令。

熟練掌握替換法可以設計出很多有趣又強大的口令，如

●y4yhl9DAY.（疑是銀河落九天。）

●45DUjywtk~（45度角仰望天空~）

●1ghh3gHELP!（一個(gè)好漢三個(gè)幫?。?/p>

●4kr,sbkREN?（是可忍，孰不可忍？）

如果覺(jué)得上述方式太麻煩，或者選取的元素比較短不足以獨立形成口令怎么辦呢？那么可以使用更加簡(jiǎn)單快捷的拼接法。拼接法的思路更加簡(jiǎn)單，按照以下三個(gè)步驟就可以完成：

第一步：選擇兩個(gè)關(guān)聯(lián)性小元素將其進(jìn)行轉化為首字母。（如元素1為歌名，則元素2不應為對應的歌手或電影，可以選擇運動(dòng)、美食、兒時(shí)伙伴等無(wú)關(guān)的元素）

第二步：選擇一個(gè)喜歡的數字和符號，為了便于記憶，可以選擇某個(gè)數字及在鍵盤(pán)上代表的符號，不同的口令可以選擇相同的拼接符。

第三步：用選擇的數字和符號將兩個(gè)元素拼接起來(lái)，其中一個(gè)元素全為大寫(xiě)。

例如：

●QHC1!ychdzx（青花瓷拼接陽(yáng)澄湖大閘蟹——最喜歡的歌和美食）

●myz2@WHKL（羋月傳拼接文化苦旅——最喜歡的電視劇和書(shū)籍）

●XSKDJS3#ymq（肖申克的救贖拼接羽毛球——最喜歡的電影和運動(dòng)）

●XBKDF4$ldh（星巴克咖啡拼接劉德華——最喜歡的咖啡店和偶像）

●WOJF5%zcp（我要減肥拼接中彩票——新年愿望）

掌握了上述的口令設計技巧，設計5~6個(gè)常用的強口令你還覺(jué)得困難嗎？快去修改一下自己常用的口令吧。

當然，人們對美好生活的向往和追求是無(wú)止境的，也許還有人覺(jué)得記錄5~6個(gè)口令還是太過(guò)繁瑣，尤其是在應用系統較多的情況下如何將口令和應用對應起來(lái)還是比較困難，那么請關(guān)注新東網(wǎng)信息安全資訊口令安全系列下一期內容——教你使用自動(dòng)化工具管理口令。