口令安全系列之二——帶你見(jiàn)證強(qiáng)口令的誕生
發(fā)布時(shí)間: 2016-01-11 11:42:18
在上一期中,我們介紹了弱口令的前世今生,相信大家已經(jīng)了解了弱口令的產(chǎn)生以及一個(gè)強(qiáng)壯口令的判斷標(biāo)準(zhǔn)。然而,很多人不禁會(huì)提出這樣的疑問(wèn):我們要維護(hù)那么多的賬號(hào)口令,如果每個(gè)口令都設(shè)置的比較復(fù)雜,怎么能記得住呢?本期信息安全資訊就來(lái)給大家介紹一些設(shè)置好用又好記的口令的方法。
一、口令分級(jí)
考慮到現(xiàn)代社會(huì)各類賬號(hào)之間往往具有許多的關(guān)聯(lián)性,如公司的郵箱賬號(hào)和OA賬號(hào)或其他辦公系統(tǒng)賬號(hào)是一樣的,某個(gè)個(gè)人郵箱可能被作用于多個(gè)常用網(wǎng)站的用戶。因此,當(dāng)攻擊者獲取了某個(gè)用戶賬號(hào)和口令以后,可能會(huì)將該賬號(hào)口令嘗試登錄多個(gè)常用的網(wǎng)站或系統(tǒng)以達(dá)到利益最大化。要真正避免上述情況的發(fā)生,只有為每一個(gè)系統(tǒng)配置不同的口令才能做到,然而實(shí)際生活中幾乎沒(méi)有人能夠真正記住那么多數(shù)量的口令。因此,賬號(hào)口令進(jìn)行分類,針對(duì)不同類別的賬號(hào)設(shè)置不同級(jí)別的口令成為了一種折衷和可行的方式。
根據(jù)賬號(hào)口令泄露可能產(chǎn)生的風(fēng)險(xiǎn)程度,我們可以把賬號(hào)口令分為重要、中等、一般三個(gè)不同的級(jí)別,針對(duì)每個(gè)級(jí)別設(shè)計(jì)不同的口令,這樣我們就能夠在只記錄少量口令的情況下降低口令泄露帶來(lái)的風(fēng)險(xiǎn)。
上述分級(jí)方式,我們只需要記錄5~6個(gè)口令即可滿足日常的需求,在實(shí)際使用的時(shí)候只要確認(rèn)一下系統(tǒng)的級(jí)別,最多通過(guò)兩到三次的嘗試即可正常登錄系統(tǒng)。采用上述分級(jí)方式設(shè)計(jì)口令通常重要級(jí)別的越高的口令,使用的范圍越小,泄露的風(fēng)險(xiǎn)也越小,結(jié)合口令復(fù)雜度要求就能夠很好的保護(hù)口令安全。
二、強(qiáng)口令設(shè)計(jì)技巧
通過(guò)口令分級(jí)的方式能夠比較好的降低我們需要記憶的口令數(shù)量,但是記憶5~6個(gè)復(fù)雜口令依然不是一件容易的事,如何將口令設(shè)置的又強(qiáng)又好記呢?這里給大家介紹一些技巧。
1)選取合適的元素
在上一期中我們已經(jīng)了解了黑客在建立弱口令字典的時(shí)候首先會(huì)選取一些常用和易猜測(cè)的元素,如常見(jiàn)的數(shù)字字母組合、常見(jiàn)的按鍵位置組合、用戶名、公司名稱、產(chǎn)品名稱、日期年份等。因此,選取不易猜測(cè)的元素來(lái)組成我們的口令就是一個(gè)很關(guān)鍵的動(dòng)作,這些元素首先要易于記憶,同時(shí)要與自身和系統(tǒng)關(guān)聯(lián)性比較低,屬于攻擊者難以獲取或不易聯(lián)想的內(nèi)容,滿足這兩個(gè)條件的元素就可以成為組成強(qiáng)口令的元素了。以下是一些比較合適組成口令的元素:
●興趣愛(ài)好,如喜愛(ài)的書、音樂(lè)、電影、電視劇、明星、美食、運(yùn)動(dòng)等
●古詩(shī)詞、俗語(yǔ)、諺語(yǔ)、名人名言
●具有特殊意義的人名、地名,如兒時(shí)的玩伴、邂逅美好愛(ài)情的咖啡廳等
●心底的愿望:要減肥、周游世界、中彩票等
2)將元素轉(zhuǎn)化為口令
選取好合適元素之后,我們就需要將元素轉(zhuǎn)化成口令,這里推薦兩種轉(zhuǎn)化的方法,替換法和拼接法。
替換法的核心思路是將元素先轉(zhuǎn)化成拼音首字母,然后使用一些方式替換其中部分字母,形成不易猜測(cè)的口令,替換法通常用于較長(zhǎng)的元素,如古詩(shī)詞、俗語(yǔ)、諺語(yǔ)、名人名言等。常用的替換思路如下:
●用數(shù)字替換代表數(shù)字的字母
●用英文單詞替換部分詞語(yǔ),建議替換部分變?yōu)榇髮?/p>
●用拼音全拼替換某個(gè)首字母,建議替換部分變?yōu)榇髮?/p>
●用某個(gè)相似的特殊符號(hào)代替某個(gè)首字母
●根據(jù)元素的語(yǔ)氣在句末增加標(biāo)點(diǎn)符號(hào)。
靈活運(yùn)用以上部分,就可以形成又好記又能滿足口令復(fù)雜度要求的口令。以“一行白鷺上青天”為元素的情況做例子,先將該詩(shī)句轉(zhuǎn)化為首字母yhblsqt,然后進(jìn)行替換:
使用第1、2、5條規(guī)則,用1替換字母y,使用SKY替換字母qt(青天),在句末加入句號(hào),變?yōu)?ldquo;1hblsSKY.”
使用第1、3、4條規(guī)則,用1替換字母y,用TIAN替換字母t,用$替換字母s,變?yōu)?ldquo;1hbl$qTIAN”
以上兩個(gè)口令長(zhǎng)度均為10,包含數(shù)字、大小寫字母、符號(hào),口令復(fù)雜度高且只要記住古詩(shī)就很容易記住口令。
熟練掌握替換法可以設(shè)計(jì)出很多有趣又強(qiáng)大的口令,如
●y4yhl9DAY.(疑是銀河落九天。)
●45DUjywtk~(45度角仰望天空~)
●1ghh3gHELP!(一個(gè)好漢三個(gè)幫?。?/p>
●4kr,sbkREN?(是可忍,孰不可忍?)
如果覺(jué)得上述方式太麻煩,或者選取的元素比較短不足以獨(dú)立形成口令怎么辦呢?那么可以使用更加簡(jiǎn)單快捷的拼接法。拼接法的思路更加簡(jiǎn)單,按照以下三個(gè)步驟就可以完成:
第一步:選擇兩個(gè)關(guān)聯(lián)性小元素將其進(jìn)行轉(zhuǎn)化為首字母。(如元素1為歌名,則元素2不應(yīng)為對(duì)應(yīng)的歌手或電影,可以選擇運(yùn)動(dòng)、美食、兒時(shí)伙伴等無(wú)關(guān)的元素)
第二步:選擇一個(gè)喜歡的數(shù)字和符號(hào),為了便于記憶,可以選擇某個(gè)數(shù)字及在鍵盤上代表的符號(hào),不同的口令可以選擇相同的拼接符。
第三步:用選擇的數(shù)字和符號(hào)將兩個(gè)元素拼接起來(lái),其中一個(gè)元素全為大寫。
例如:
●QHC1!ychdzx(青花瓷拼接陽(yáng)澄湖大閘蟹——最喜歡的歌和美食)
●myz2@WHKL(羋月傳拼接文化苦旅——最喜歡的電視劇和書籍)
●XSKDJS3#ymq(肖申克的救贖拼接羽毛球——最喜歡的電影和運(yùn)動(dòng))
●XBKDF4$ldh(星巴克咖啡拼接劉德華——最喜歡的咖啡店和偶像)
●WOJF5%zcp(我要減肥拼接中彩票——新年愿望)
掌握了上述的口令設(shè)計(jì)技巧,設(shè)計(jì)5~6個(gè)常用的強(qiáng)口令你還覺(jué)得困難嗎?快去修改一下自己常用的口令吧。
當(dāng)然,人們對(duì)美好生活的向往和追求是無(wú)止境的,也許還有人覺(jué)得記錄5~6個(gè)口令還是太過(guò)繁瑣,尤其是在應(yīng)用系統(tǒng)較多的情況下如何將口令和應(yīng)用對(duì)應(yīng)起來(lái)還是比較困難,那么請(qǐng)關(guān)注新東網(wǎng)信息安全資訊口令安全系列下一期內(nèi)容——教你使用自動(dòng)化工具管理口令。