网络攻防技术与项目实战（题库·微课视频版）

作者简介

内容简介

第3章〓口令攻防 通过本章学习，可以达到以下目标：  理解口令的概念，掌握口令攻防的技术及方法 。  掌握NTPWEdit、Hydra、Crunch等口令攻击工 具的基本使用方法。  从对远程暴力破解Windows远程桌面用户口令 的防御案例中体会多层次防御方法。  重视对口令的管理，增强对口令攻击的防范意 识。 3.1口令攻防概念 3.1.1口令的概念 口令是身份认证的一个组成部分，是操作系统及众 多网络应用的第一道防线。口令的作用是向目标系统提 供唯一标识个体身份的机制，从而保证目标系统的安全 及不同用户的访问权限控制。 口令攻击是指黑客以口令为攻击目标，破解合法用 户的口令或避开口令验证过程，然后冒充合法用户潜入 目标系统，随心所欲地窃取、破坏和篡改目标系统的信 息，直至完全控制目标系统。口令攻击是黑客实施网络 攻击的最基本、最重要、最有效的方法之一。 3.1.2口令的分类及验证方式 1. 静态口令 静态口令是指用户登录系统的口令是在注册时一次 性产生的，在下一次用户修改之前的使用过程中总是固 定不变的。静态口令一般存储在目标系统的数据库中， 有的口令在目标系统中会以文件形式存在，如Windows 系统的登录口令。在登录网络系统时，用户输入的用户 名和口令通过网络传输给服务器，服务器将其与系统中 保存的用户名和口令进行查询及匹配，检查是否一致， 从而实现对用户的身份验证。 静态口令从软件设计角度最简单易行，但是由于口 令在被用户修改前的静态不变特性，使得其安全性较低 。此外，如果用户设计的口令过于简单，则很容易被攻 击者猜测出来； 如果口令过于复杂，那么用户又难以 记忆口令，甚至经常忘记口令。当前互联网时代有太多 的网络系统需要用户登录，一个用户需要记忆多个不同 口令也不现实，因此往往会在多个系统中重复使用同一 个或少数几个口令。在这种情况下，如果某用户的口令 在一个系统中被攻击者破解，攻击者可能会使用口令去 其他系统中“碰运气”，这无疑增加了口令被泄露的风 险。 2. 动态口令 动态口令也称为一次性口令，是指根据专门的算法 生成一个不可预测的随机字符组合，使得用户每次登录 系统时的口令都是变化的。动态口令现在被广泛运用在 网上银行、电子商务、大型门户网站等领域。例如，手 机短信认证就是动态口令应用最广泛的场合之一。手机 短信密码就是以手机短信形式请求包含6位或更多位随 机数的动态口令，身份认证系统以短信形式发送随机的 本书将18个攻防案例穿插在网络攻防理论中，在兼顾基础性的同时强调实践性,并提供丰富的配套资源。