現(xiàn)在企業(yè)大部分的網(wǎng)絡(luò)設(shè)備與應(yīng)用軟件，都是依靠口令來(lái)保證其安全性的。若口令丟失的話，可想而知，會(huì)給企業(yè)的網(wǎng)絡(luò)安全帶來(lái)多大的風(fēng)險(xiǎn)，很可能在不知不覺(jué) 中，企業(yè)網(wǎng)絡(luò)中的主機(jī)成為了黑客的肉雞，成為他們攻擊其他網(wǎng)絡(luò)的跳板;甚至企業(yè)的那些所謂機(jī)密信息也會(huì)一覽無(wú)余的顯示在攻擊者面前，成為他們非法牟利的工 具，等等。 　　所以，在企業(yè)網(wǎng)絡(luò)管理中，有一項(xiàng)非常重要的任務(wù)，就是對(duì)口令安全的管理。可惜的是，很多企業(yè)在這個(gè)方面管理的并不是很好。下面筆者就談?wù)勗诳诹罟芾?中，有哪些看起來(lái)很復(fù)雜的密碼但是對(duì)于黑客來(lái)說(shuō)，確是很容易破解。根據(jù)密碼破解難度的不同，我這里就總結(jié)出黑客最喜歡用戶設(shè)置的五種網(wǎng)絡(luò)口令，妄大家能夠 引以為鑒。 　　一、 用戶名與口令名相同 　　筆者平時(shí)跟一些網(wǎng)絡(luò)管理的同行聊天，談到密碼設(shè)置的問(wèn)題。他們跟我一樣，都發(fā)現(xiàn)用戶在這方面不夠重視，或者說(shuō)，有偷懶的習(xí)慣。我們?cè)谠O(shè)置用戶名的時(shí) 候，如域帳戶或者ERP系統(tǒng)的帳戶名，都會(huì)設(shè)置成“第一次登陸必須修改密碼”。但是，當(dāng)用戶在設(shè)置密碼的時(shí)候，喜歡把用戶名與口令設(shè)置成相同。確實(shí)，用戶 名與口令一致，在記憶上可能會(huì)比較容易。但是，若從安全角度考慮，其跟沒(méi)有設(shè)置密碼，沒(méi)有什么不同。 　　因?yàn)楝F(xiàn)在最常用的電子字典密碼破解工具，在破解密碼的時(shí)候，第一就是看密碼是否為空，第二就是查密碼是否跟用戶名一致。所以，若把用戶名與密碼設(shè)置為 一致的話，很容易被電子字典所破解。而且，即使不用電子工具，我們手工的話，按照這個(gè)規(guī)則也可以在一分鐘不到的時(shí)間里破解掉。所以，若采用用戶名與密碼一 致的口令的話，是非常危險(xiǎn)的。 　　不過(guò)，我們可以在密碼管理策略中，限制用戶設(shè)置與用戶名相同的密碼。如在域帳戶管理策略中，我們可以限制，用戶設(shè)置的密碼不能跟用戶名相同。在一些應(yīng) 用軟件，如ERP系統(tǒng)中，我們也可以做這方面的限制，等等。也就是說(shuō)，現(xiàn)在很多應(yīng)用軟件開(kāi)發(fā)商與網(wǎng)絡(luò)設(shè)備廠商已經(jīng)認(rèn)識(shí)到這種口令的危害性，在他們的口令安 全中，紛紛加入了這方面的限制。如此的話，我們網(wǎng)絡(luò)管理員就可以利用強(qiáng)制的手段，限制用戶設(shè)置跟用戶名一致的口令，從而提高口令的安全性。 　　二、 使用用戶名變換得到的口令 　　有些用戶自以為聰明，既然密碼不能跟用戶相同，則對(duì)用戶名進(jìn)行簡(jiǎn)單的變幻之后，作為密碼總可以了吧。如把用戶名顛倒順序作為密碼，或者在用戶名后面加 上個(gè)“123456”作為密碼。從技術(shù)上說(shuō)，這確實(shí)是可行的。但是，這只是在欺瞞我們網(wǎng)絡(luò)管理者，而對(duì)于黑客來(lái)說(shuō)，使毫無(wú)用處的。 　　我們不要把電子字典想的太簡(jiǎn)單，認(rèn)為它不能夠識(shí)別這個(gè)小伎倆。要知道，電子字典密碼破解工具中，融入了用戶很多常規(guī)的密碼設(shè)置心理。在利用電子字典密 碼破解工具的時(shí)候，若是一個(gè)八位密碼，不管是純數(shù)字還是字母結(jié)合的密碼，電子字典可以在一分之內(nèi)根據(jù)用戶名排列出所有的組合。也就是說(shuō)，若我們的密碼是對(duì) 用戶名重新排序而來(lái)的，則電子字典就可以在一分鐘之內(nèi)找到正確的密碼。可見(jiàn)，若對(duì)用戶名進(jìn)行簡(jiǎn)單重排序而得到的密碼，看起來(lái)好像很復(fù)雜，若用手工破解的 話，確實(shí)有難度;但是，若黑客利用電子字典等密碼破解工具的話，則破解起來(lái)就好像跟切豆腐一樣的容易。 　　可以毫不夸張的說(shuō)，以用戶名為基礎(chǔ)進(jìn)行變換的密碼，如對(duì)用戶名進(jìn)行隨意的排序或者在用戶名后面加上幾個(gè)簡(jiǎn)單的數(shù)字，這些單純的變換形式，只要用戶想的 到的話，一些高級(jí)的電子字典破解工具，也想的到。而且因?yàn)槠溥\(yùn)算能力的原因，可能我們需要花個(gè)幾分鐘時(shí)間去想怎么重新組合合理，而電子字典的話，可能只需 要你一半的時(shí)間，就可以把這個(gè)密碼破解掉。 　　所以，在口令設(shè)置中，特別是一些重要網(wǎng)絡(luò)設(shè)備與應(yīng)用軟件中，不要按這種形式來(lái)設(shè)置密碼。