密码心理学攻击

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。


实验原理
一.什么是密码心理学
密码心理学就是从用户的心理入手,分析对方心理,从而更快的破解出密码。掌握好密码心理学可以缩短破解时间,快速获得用户信息。
密码心理学的研究者做过一个实验,实验是这样设计的:随机抽取100名大学生,让他们每人写下两个单词,并且告诉他们,这两个单词将用作重要系统的管理员密码,请慎重选择。
这个实验的结果令人相当吃惊:37人使用了自己的中文姓名全拼或者简拼;23人使用了常用的英文单词如hello,good等;18人选择了计算机中常用的单词如system,admin,administrator等;7人使用了自己的生日如19801010,801010,101080等。这项实验的目的就是为了查看一般计算机用户在选择重要密码时的心理状态,按照用户选择密码的依据,我们不妨将这些依据分类,每一类称为一个密码特征,那么一个密码就是由一个或者多个密码特征组合而成的。
密码本身的保密性是来源于其随机性,整个密码的被猜中概率(P)是多个密码特征概率的乘积,只有所有密码特征概率(Pi|i=1,2,3,……n)都处在一个较低的水平上时,整个密码才是安全的。可以用公式表达成:

P(c)=P1×P2×P3×……×Pn


我们还可以看出,当特征数量增多时(即n比较大),密码的安全性也较高。
然而实验结果显示出了某些心理状态的高概率分布——姓名被选中的概率高达37%,简单英语被选中的概率高达23%。这意味着一个采用操作员姓名拼音做密码的计算机有37%的概率被攻破,这样的密码基本上已经完全丧失功能了。
二.密码特征分析
我们常用的一些密码特征分析如下:
1.姓名特征
非常不赞成使用,无论是拼音全拼简拼还是英文名,都具有十分高的被猜中概率,非常不安全。
2.数字特征
这些特征包括生日、电话、员工号码、门牌号码等。纯粹的数字密码假设有N位,那么每位的独立被猜中概率为1/10,密码整体完全被随机猜中的概率为1/(10N);而我们如果采用了字母和数字混合的方式构造N位密码,则它的完全被随机猜中的概率降为1/(62N),当N>4时,两者的概率相差将非常大。
3.长度特征
长度是另外一个关键特征,过短的密码会很容易被暴力破解(穷举)。0位的密码会使大部分人成为入侵者,也会让一些人自豪的自称为“黑客”,并在别人桌面上留下一份“黑客声明”。一般来讲,应用于关键计算机系统的8位以下的密码都是不推荐的。当然过长的密码可能不便记忆也不便输入,一般很少见到有人使用一个包含256个字符的密码。
4.密码关联概率
所谓密码关联概率,是指同一个系统管理员在不同应

用场所所使用的密码之间相同或者具备某确定规律的概率。不幸的是,大部分人都使用了高度关联的密码。举例来说,一个用户用“Hu73WQ0Oue31Nmvb4”作为自己计算机管理员密码(很高兴的看到,这个用户已经采用了非常安全的密码),但是不幸的是他的疏忽造成了此密码被泄漏,更加不幸的是他在网上银行、网上私人空间等均采用了相同密码——后果是可想而知的。另外一个例子是某企业网络中有100台计算机,计算机1号的管理员密码是“admin001”,2号计算机的密码则是“admin002”。依据这两条信息,弱智也能猜到3号计算机的密码是“admin003”——遗憾的是,许许多多管理员的智力,并不比弱智好多少,原因居然是:他们认为自己太聪明了!
5.用户名特征
用户名与密码配对使用,然而这里也有大量玄机。此特征中被猜中概率最高的行为,就是采用了与用户名一样的密码。那么用户帐号“admin”使用“adminpassword”做密码安全吗?我告诉你,它的安全性仅仅比采用“password”做密码好一点点。此外,本文开头所描述的案例中还暴露了一个问题,那就是计算机中应该只允许必须要用的帐户存在,大部分人并不需要使用系统默认的“Administrator”或者“guest”登录,那么就应该删除此帐号。
6.有效期特征
许多人懒于定期修改密码,这样,一个儿时的玩伴可能在你80岁的时候窃取你银行中的所有养老金,而你却不知道何人所为。有效期特征是所有特征中非常有趣的一个,它拥有一个时间参数——随着当前密码应用时间的增加,此特征被猜中的概率也在增加。增加的原因可能来自于越来越多的个人信息、习惯被黑客所掌握;也可能是有一台超级计算机正在用穷举法破解你的密码,并预计在一个月后得到结果;也可能是一个黑客早已得到你的密码,可是为了不至于很快被警察捉到,于是等到1年之后才动手;如果你怀疑自己的帐号可能被他人登录过却并没有损失,不要迟疑,立即修改密码——黑客可能嫌你帐户中的金额还不够多,等着你将家里那100万元存入呢!
7.大众密码
“aaa”、“123456”、“abcd”是不是密码呢?是的,而且还被许多人应用着。这些密码同样也被黑客放在黑客词典的首页上。这样的密码除了好记一些,毫无安全性可言。
密码特征还有许多,这里列出的,都是容易遭受黑客尝试的一些。要获得比较安全的密码,那么就应该尽量选择那些不容易被想到的密码特征来组合自己的密码并启用密码策略。在WindowsXP系统中,密码策略在控制面板中的“性能和维护-管理工具-本地安全策略-帐户策略-密码策略”中。密码策略对

我们上面提到的一些特征进行了强制处理。
三.黑客猜解密码的切入方法
黑客猜解密码的基本思路:一般猜解、利用搜索引擎猜解和配合社会工程学猜解。猜解时主要考虑下面的心理原则:
1.中文拼音
对中国人来说,一般都没有用英文名的习惯,所以很多人用中文拼音做密码;如果去论坛之类的地方,对方会要求注册一个用户名,由于简称很容易被注册,所以一般用全称。如果是密码,一般要倒过来考虑,先从简称再全称,理由是短,输入时间快,而且好记忆。
2.简单数字
数字也是用得很多的,123,123456(因为一般我们的习惯是六位数字,包括银行的存折都是六位,论坛最低要求也是六位),试一下qq的密码,其实不少人是这样的,特别是新手。下面一些也是常用的:1,11,111,123,168,1314,520(特殊意义的数字)……。
3.生日
生日用得特别多,有人把存折和身份证放一起丢了,盗贼用他的生日拿到了钱。这是由于人们怕忘记密码,会造成不必要的麻烦,故使用自己永远都不会忘记的生日做密码。上面说到的六位,所以刚刚好可以这样设置790102,似乎很省事,可是一旦泄露麻烦就大了。一般人都有这样的习惯:六位就是790102,四位是7912。如果那个月和日是只有一位的,也就是1~9,一般人就是用四位的,如:7632,而不是760302,如果日期是双位的,10~31,一般人也就是用到六位而不会是五位,如:760321而不是76321。如果月是双位,一般日就是双位的,如:761203,而一般不是76123。总体来说也就是月和日都是同样位数的。因为这样比较美观。也有人不用日,只用到月,如:763,但对中国人来说7603用得少,因为0看起来是多余的。
4.形式单一
一个做暴力破解机软件的人,只要他思考过,而且技术上能达到的话,破解应该按照这个顺序来:数字→字母→特殊符号。对方用户名一般不用大写字母,都是小写的多。例如用cyh比CYH多,而且用caiyihao比用CAIYIHAO多。密码就要考虑大小写,理论上也应该按照先小写再大写来。因为用户输入大写字不是按shift键而是按caps lock键,所以理论上来说,要使用大写则所有字母都会是大写。
5.信息暴露
一个黑客会从细微入手分析用户的信息。从电子邮箱入手的话可以知道一些什么呢?例如:caiyihao790101@,可以看出来对方是使用姓名的全拼和生日做用户名。也可通过昵称来获得用户信息。例如:QQ昵称为“浩”,很明显名里有“浩”字。
四.针对密码的猜解,如何提高密码强壮性
1.增加长度和样式
密码的位数不要短于6位,使用大写字母和小写字母、字符和数字的集合。
2.避开个人

信息
不要以任何单词、生日、数字、手机号做为密码,这种太容易被破解,例如生日,看似有8位,但对于出生在19XX的人,一年只有12个月,一个月最多只有31天,几分钟就可以试出来,都无需程序来计算。
3.增加复杂性
密码中的英文最好有大小写之分;如果在程序允许的情况下,最好能加上英文半角的符号;不要用a、b、c等比较小顺序的字母或数字开头,因为用字典暴力破解的程序,一般都是从数字或英文字母排序开始算的,如果设为z的话,破解的机率就小很多。
4.寻找一种相对复杂的规律
无规律性的密码不好记忆,有种比较简单的方法,例如密码是blueidea,首先在头加一个$号,成为$blueidea,然后在尾加上一个)号,成为$blueidea),这种还是不安全,再把中间的打乱,成为$ideablue),随便把中间的某几个改为大写字母就会成为$IdeabLue),再加上一两个数字成为$I1de9ab9Lu8e20),这样密码的强壮性就大大提高了。如果还是觉得不安全,可以继续把中间的字母打乱;
一些程序或注册入口对密码设定的比较死,只能用数字和字母。这种情况下可以把blueidea改变字母的大小写变成bLUeIdEa,打乱EaIdbLUe,再加上数字成为E9aI4db2LU6e,这样可以安全很多;
还可以用一句话来设定密码,例如“好好学习,天天向上”,先取拼音的第一个字母,hhxxttxs,变成h2x2ttxs,再变成H2X2tTXs,再变成tTXsH2X2,加上头和尾,ItTXsH2X2O,一个强壮的密码就诞生了。
5.强记复杂密码
如果认为上述方法比较麻烦,可以强记两到三个比较复杂的密码,用的时候把它们重新排序,例如常用密码为ItTXs和Lu8e20,组合后为ItTXsLu8e20,再打乱顺序就得到了新密码Lu8eItTXs20。
6.提高个人电脑的安全性
注意在自己的电脑中安装比较可靠的杀毒软件,但如果电脑里有木马的话,再复杂的密码也是没有任何作用的。故不要上不可信的网站,不要让别人很容易的得到你的信息。这包括身份证号码、电话号码、社会安全号码、您的手机号码、您所居住街道的名字等等。
7.掌握网络安全技巧
最好只注册那种用MD5算法进行加密的论坛,那样管理员就无法知道你的密码。
8.定期更改密码
例如每个月的第一个星期五,也不用重新想,可以把密码的排序更改一下,还好记忆。
9.避免同一密码重复使用
不要所有的地方都用一个密码,根据重要和非重要的原则来设定密码。
10.避免个人信息泄露
不要把自己的密码写在别人可以看到的地方,如笔记本,纸巾上等等,最好是强记在脑子里,不要在输入密码的时候让别人看到,多练几次,打快点,旁人自然就看不到了,

更不能把自己的密码告诉别人,这样对自己对别人都是很不负责任的。



相关文档
最新文档