| |
|
当心!黑客一分钟内就可攻破用户口令 位于芝加哥的Neohapsis公司被邀请检查一家地区性的保健公司的系统安全时,该公司通过使用一个知名的密码破解软件"John the Ripper",从该保健公司的一个服务器中获取了口令(密码)文件,在不到1小时的时间内,该保健公司中1万用户的密码中,有30%的用户密码被获取。用普通方法破译这些精选的口令可能需要几年甚至几十年的时间。 据从事网络安全顾问的Neohapsis公司的主管Greg Shipley表示,“这种情况几乎每家公司都会遇到。即使是大型的跨国公司,也有许多用户的口令是非常容易被破解的。我们还没有看见哪家公司雇员选择的口令是攻不破的。” 被评为财富100强的公司中、在小型的企业中,甚至在提供互联网服务的ISP公司中,都有一个共同的安全隐患:公司的一些雇员都选用了一些非常容易猜到的口令。如一些雇员使用Webster词典中的单词来作口令、一些选用宠物的名字作口令、许多人都是用自己的秘密情人的名字来作口令。许多人在口令后面再加上一两个数字。这些雕虫小技在今天的计算机面前都显得脆弱不堪,现代计算机每秒钟可以尝试数百万个词汇变体,通常能在不到一分钟内破译大量的口令。 对网络入侵者来讲,网络无疑是个富饶金矿。尽管易攻破的口令并不一定会让公司的网络被侵入,但是黑客能够通过其它手段接触公司的有着无数财富的计算机。通常一台服务器的口令被破译经常导致其它服务器被攻破,入侵者使用数字钥匙可以打开大部分网络上帐号的“保险柜”,像合法用户一样大摇大摆地进进出出。 这就是为什么会发现网络入侵者能非常迅速获得口令的原因。一些蠕虫或病毒甚至会把被感染的电脑的口令文件返回给病毒的创建者。上周一个名为DoubleTap的蠕虫就有这种功能。DoubleTap蠕虫入侵装有微软SQL Server 7.0的计算机,并获取用户的计算机上的口令。在2001年初在Linux服务器上传播的Li0n蠕虫也是能获取口令文件,而SirCam病毒,在一些情况下能会把系统的口令泄露的。 |
| Copyright By「黑白网络工作室」2002 All Rights Reserve |