计算机口令安全

计算机口令安全。。。

相信提到计算机安全很多人都会首先联想到口令安全,确实,很多病毒、木马编写者都乐意把口令猜解功能集成到程序里面，原因很简单，获得了口令的同时也就获得了口令对应帐户的权限，而大多数个人计算机用户都不认为口令安全是一件很重要的事，计算机管理员口令往住为空或是1234什么的，不信你拿"流光"或"X-scan"或"SSS"到internet上扫描下，得到的空口令或弱口令的数量之多想必会让你大吃一惊。或者你拿"LC5"或"saminside"之类的工具去扫一下你的本地计算机，你就会难过地发现你一直以为健壮的口令是多么不甚一击。那么，什么样的口令才算是安全的呢？

还是先让我们来简单了解一下计算机口令的存储和验证过程，假设我们在本地计算机上创建了一个Boy的帐号和一个我们认为安全的密码口令，这时计算机会把Boy的口令通过加密散列算法进行加密并存储在安全帐户管理器sam数据库中，散列是一种把可变长度的二进制输入经过处理后生成固定长度的二进制输出的结果。使用一个优秀的散列算法那么理论上来说两个不同的输入不会产生相同的输出。也就是说相同的输入总是产生唯一的输出。由于加密散列是单向函数，所以该过程是不可逆的，也就是说，加密散列不能被解密。当用户登陆时，用户输入的口令就会被同一加密散列加密，并把结果与sam中存储的散列值进行比较，如果相同，那么表示口令匹配，用户就通过了身份验证。

在2000以后的系统，交互式登陆使用的是"NTLM"(或NTLMv2)身份验证算法。该算法较之2000之前的操作系统使用的LM算法要先进和安全许多。具体表现在,支持128个字符的口令长度，支持使用Unicode字符集，进行口令散列的时候不用像"LM身份验证算法"那样要先分成两段,再分别进行加密。但是为了在局域网内保证与旧版本的操作系统的兼容性，网络身份验证的时候仍然使用LM对98等旧版本操作系统进行身份验证。也就是说sam数据库中同时保存了某一口令的NTLM和LM两种算法的加密散列，这就导致了安全风险，一但我们获得了某一计算机的sam文件，LM算法会帮助我们更快地破解出加密口令。为什么这么说呢？我们来看下LM大概的加密过程就知道了，首先，LM会先将口令一律转换成大写，并分成两个7字符长度的段，如果口令不足14个字符，LM会自动用0对口令进行填充补足14个字符，然后单独加密每个段，来创建LM口令散列。这样生成的口令很容易被破解，因为只需要分别对两个段进行独立的破解，再把结果拼起来我们就获得了完整的口令。对于强力的口令破解工具而言，不用一会的功夫就能把你自认为强健的口令破解出来。。。等下,你刚才不是说通过散列加密的口令是不能被解密的吗?那破解工具是如何破解口令的呢?其实很简单,破解工具压根不会去解密口令,他们对字典穷举或暴力破解算法产生的

进行散列加密(算法是公开的),然后逐个与sam数据库里对应的你要破解的帐号口令进行比较,来判断所猜解的口令是否正确...那么看来LM散列看来很危险,有没有办法删除呢?有的,如果我们不想让LM散列保存在我们的sam数据库中,那么你要做以下步骤:

1。开始运行里输入secpol.msc，打开“本地安全策略”管理单元，选择本地策略，选择安全选项，找到“网络安全：不要在下次更改密码时存储Lan Manager 的Hash 值”条目，把它设为启用。如图：

2。更改想要保护的帐号的密码并重新启动。（这样系统就不会再为新的口令创建LM的散列值并存储了，散列也称哈希）

回到我们最先的话题，什么样的口令才算是安全口令呢？

1。要足够长，越长的口令越难破解，这地球人都知道，我建议大家用短语口令，长度最好14个字符以上。

2。要足够复杂，复杂性要求至少包含：大小写英文字母、数字、特殊符号四类字符中的三类。（这是微软建议的密码复杂策略的其中一条）

3。在口令中使用Unicode字符，NTLM及其后续版本支持Unicode字符，Unicode字符对口令来说是个很好的选择，一般普通的口令破解程序在它们的强力算法中都不包含Unicode。要包含Unicode字符，按住Alt键并使用数字键盘按下三到四个阿拉伯数字。

注意:并不是所有的Unicode字符都能提高安全性。有些只能简单地表示可由键盘输入的字符。具体参见：

/smallbusiness/support/articles/select_sec_passwords.mspx）帐户权限配置。。。

在大多数与安全相关的培训课程和文档中我们经常会见到"最小特权原则"这个词，好，让我们先来了解一下最小特权原则：

最小特权原则规定，所有用户应该使用仅具有完成当前任务所需的绝对最小权限的用户帐户登录。这样做可以对抗其他攻击中的恶意代码。此原则适用于计算机和那些计算机的用户。也就是说应用程序的运行需要多少的权限，我们就授予多少的权限，绝不多给。这个道理很简单，多余的权限只会带来安全隐患，所以在配置用户权限的时候要特别的注意。基于这个原则那我们在加强计算机安全的时候就应该做到合理的分配用户帐户的权利和权限,为共享资源配置访问权限控制,重要的机密文件应该用EFS进行加密保存。。。我们在英特网上流浪，没遇到熟人却经常碰到病毒、木马、恶意程序。。。一不留神就发现机子变慢了，QQ密码被盗了，主页被修改了。。。种种悲惨的遭遇真是让人对"上网"这项不能减肥的活动不禁又爱又恨哦。那好，让我借用盆盆（微软最有价值专家）的一篇"IE最佳安全保护"的文章来给我们的IE加上"金钟罩"。。。

1。首先启用基本帐户类型，操作如下：

1）打开注册表编辑器，定位到以下注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers 2）新建一个名为Levels的DOWRD键值，其数据数值为0x20000。

2。打开“本地安全策略”管理单元（如果第一次设置软件限制策略，请右键单击“软件限制策略”，选择“创建新的策略”菜单项），展开软件限制策略→安全级别，在右侧的详细窗格里可以看到“基本用户”，如图所示：

3。我们在其它规则下，新建一个路径规则，如图所示，指定安全级别为“基本用户”，这样每次运行IE浏览器，都可以运行在更安全的级别。

经过如上配置我们的IE获得的权限就类似于用户组里的User帐户，对系统所能做的操作是很有限的，如通过IE强制安装的流氓插件或"3721"之流将因没有足够的权限被系统拒绝而无法安装。这在很大程度上保证了我们的上网安全。当然，我个人的建议是最好用最小权限的帐户去上网，比如用guest去浏览网页，即使不幸中招，病毒或木马也会因为从该帐户继承到的安全上下文和访问令牌权限过低而无法发作或做更进一步的系统破坏。一句话，没有权限病毒和木马什么也做不了，这也就可以理解为什么病毒和木马程序在破获了某一帐户的口令之后接着要做的就是通过各种方法来提升帐户权限。

越少越安全。。。

看过金庸先生武侠小说的朋友应该知道,金庸先生曾在他的小说里对武功的破绽有一段精彩的论述,他说任何武功招术都有破绽,你只要一出招同时你的破绽也就露了出来,所以无招胜有招。对于操作系统情况也是一样的，操作系统要对外界提供各种各样的功能，他提供的功能越多，他的漏洞就越多。假设我们的操作系统什么功能也没有，你怎么攻击它？借用前面最小权限原则的道理，我们不难明白，如果想要系统更安全，不必要的功能一定要关掉，我们需要什么功能就开什么功能，其它的应该通通禁用掉，比如系统服务，比如用户帐户，比如共享资源，比如远程访问等等。下面来说说具体怎么做。

针对个人上网用户，系统服务有必要开的只有下面提到的几个，其它的可以根据情况考虑使用禁用或手动，如果你确定以后绝对不会用到这些功能，那就禁用吧，如果不确定，那设为手动就OK了。

COM+ Event System

Cryptographic Services

DCOM Server Process Launcher