76、密码破解漏洞案例研究

密码破解漏洞案例研究

1. 密码问题概述

在众多应用程序中，存在着多种常见的密码问题。为了便于阐述，我们将这些问题集中在这一部分进行讨论。

密码问题最常见的根源往往在于人为因素。密码令人烦恼，而且数量众多，难以记忆。人们常常被提醒要使用强密码，定期更换，并且几个月内不重复使用。对于每个使用的网站，都应该有不同的强密码，但实际上，大多数人即便知道这样做的重要性，还是会想出一个简短易记的密码列表，并在多个网站重复使用，而且很少更换。要知道，这些密码可能是保护个人重要数据不丢失的唯一防线。

这种人类行为使得潜在受害者为攻击者提供了便利，这也是密码攻击如此常见且有效的原因之一。这种情况不仅出现在个人密码上，有时服务器或软件管理员的密码也存在类似问题。

2. 常见密码漏洞类型

2.1 默认密码

许多软件在安装时会设置空白或默认密码，开发者假定用户会在安装后立即更改这些密码。然而，即便用户指南、管理员指南或在线提醒都告知用户为了安全需要更改密码，但仍有相当多的用户根本不去理会。这会使系统的安全防线完全敞开，这种情况在许多产品中都多次出现。在网上可以找到几乎所有预装默认密码的主流软件的默认账户名和密码列表。

2.2 弱密码/密码猜测

密码猜测是最常见的密码破解技术，但如果想要取得较好的效果，攻击者需要掌握一些受害者的个人信息。攻击者首先会努力收集受害者的各种个人信息，比如女朋友的名字、宠物的名字、父母的名字、出生日期等。收集到这些信息后，攻击者会尝试不同的名字和数字组合来猜测受害者的密码。因为人们设置密码的方式相对可预测，常见的密码模式有：
- 爱人的名字 + 出生日期/电