徐文亭++肖強(qiáng)++王春莉++張卓群

摘 要：伴隨著信息技術(shù)的快速發(fā)展，各種Web應(yīng)用和業(yè)務(wù)管理系統(tǒng)的增多，使得服務(wù)器主機(jī)中存儲(chǔ)了大量的業(yè)務(wù)和敏感數(shù)據(jù)。由于網(wǎng)絡(luò)中存在黑客攻擊、蠕蟲病毒等安全威脅，因此提高服務(wù)器主機(jī)的安全級別尤為重要，其中更以服務(wù)器主機(jī)的賬戶密碼的安全為重中之重。論文介紹了常見弱密碼的規(guī)則和密碼強(qiáng)度評判標(biāo)準(zhǔn)及主機(jī)推薦密碼規(guī)則，最后給出Windows系統(tǒng)主機(jī)安全密碼策略。

關(guān)鍵詞：服務(wù)器；密碼；安全；策略

1 引言

主機(jī)是各種數(shù)據(jù)、程序、服務(wù)的聚集地，系統(tǒng)管理員常常采用遠(yuǎn)程連接的方式進(jìn)行維護(hù)，則必將涉及到遠(yuǎn)程維護(hù)的最基本的安全問題—賬戶和密碼的安全策略。為操作系統(tǒng)設(shè)置一個(gè)足夠安全的賬戶是保障主機(jī)安全的最重要的屏障，管理員應(yīng)嚴(yán)格保護(hù)，任何粗心大意、賬戶和密碼的丟失、泄漏都應(yīng)堅(jiān)決禁止。

從LockDown.com公布了的一份采用“暴力字母破解”方式獲取密碼的“時(shí)間列表”可以看出，單純的數(shù)字或字母組成的弱密碼的強(qiáng)度非常薄弱。

2 常見的弱密碼規(guī)則

一個(gè)有效的密碼就猶如一扇堅(jiān)實(shí)的鐵門，保護(hù)著門后面的安全，而這扇門如果有規(guī)律可言，那么門外的偷窺者就很有可能研究出規(guī)律進(jìn)而破解—弱密碼規(guī)則由此而來。

弱密碼也就是容易被破解的密碼，如簡單的數(shù)字組合，123456、000000等，或者與賬號相同的字母等，另外很多終端設(shè)備廠商出廠配置的通用密碼都屬于弱密碼。

在攻擊技術(shù)中，弱密碼規(guī)則是非常重要的一環(huán)，但本文的“弱密碼”已經(jīng)超越了原本弱密碼的范疇，即攻擊者認(rèn)為的弱密碼在平常網(wǎng)絡(luò)中并不一定是弱的，只是這些密碼太具有規(guī)律性。

2.1 空密碼

空密碼就是沒有密碼，在個(gè)人計(jì)算機(jī)系統(tǒng)中，空密碼的存在是司空見慣，是密碼設(shè)置中最嚴(yán)重的錯(cuò)誤。在攻擊者密碼生成字典中，一般用各種攻擊、破解工具均能識(shí)別不同形式的“%null%”來表示空密碼。

2.2 短密碼

短密碼是指密碼的位數(shù)很短。密碼位數(shù)越短，破解所需時(shí)間越少。以前的計(jì)算機(jī)因運(yùn)算能力不足，加之網(wǎng)絡(luò)安全技術(shù)相對落后，通常認(rèn)為三位以下的密碼是較弱的，但目前的情況是只要六位以下都算是弱密碼。

2.3 連續(xù)字符密碼

連續(xù)字符密碼是用連續(xù)的字符構(gòu)造出的，比如111111、aaaaaaaaa、cccbbbddd等，雖然密碼長度也可能在十五位以上，但對于攻擊者來說，這樣的字符串組合方式非常少，實(shí)際密碼強(qiáng)度并不高，所以屬于弱密碼范圍。

2.4 遵循鍵盤布局密碼

就是在構(gòu)建密碼時(shí)，用戶按照方便敲擊鍵盤的順序來制定的，比如asdfgh、～！@#$%^&，這樣的密碼雖然沒有連續(xù)字符，但密碼強(qiáng)度依然很弱。

2.5 常用英文單詞密碼

許多人習(xí)慣與使用某些英文單詞作為密碼，而這些作為密碼的常用單詞經(jīng)過統(tǒng)計(jì)，竟然非常驚人相似，說明無數(shù)人都在使用少數(shù)英文單詞作為自己的密碼?，F(xiàn)在很多字典工具中默認(rèn)包含了這些常用詞語，方便攻擊者使用。

2.6 和賬戶一樣的弱密碼

隨著網(wǎng)絡(luò)應(yīng)用越來越多，普通人需要記住的賬戶和密碼也越來越多，但很多人只能記住某些網(wǎng)站的賬戶而無法記住相對應(yīng)的密碼，所以，為了方便便將密碼修改成與賬戶一樣的字符，于是和賬戶一樣的弱密碼便產(chǎn)生了?，F(xiàn)在很多窮舉攻擊工具就提供與賬戶一樣的弱密碼的監(jiān)測功能。

2.7 具有特殊意義的數(shù)字、字母密碼

使用具有特殊意義的數(shù)字、字母、字符生成密碼，如電話號碼、手機(jī)、生日、單位名稱縮寫等。

3 密碼強(qiáng)度評判標(biāo)準(zhǔn)——Google的密碼強(qiáng)度評判標(biāo)準(zhǔn)

對于主機(jī)來說，一個(gè)安全性足夠強(qiáng)的密碼是必須的，也是最基本的，網(wǎng)絡(luò)中有一份仿Google的密碼強(qiáng)度評判標(biāo)準(zhǔn)如表1所示，可以中肯地評價(jià)用戶密碼強(qiáng)度，用戶可使用該規(guī)則約束自己的密碼，以達(dá)到足夠的安全強(qiáng)度。

4 主機(jī)推薦密碼規(guī)則

作為主機(jī)密碼，使用上述規(guī)則中的100分密碼還是不夠的，應(yīng)該有自己非常強(qiáng)悍的密碼強(qiáng)度規(guī)則，如包含大寫字母、小寫字母、數(shù)字和特殊符號；密碼長度在12到14位之間；不存在相通的兩個(gè)（含兩個(gè)）密碼組成元素；不存在任意有規(guī)則的常用英文單詞；不存在任意有規(guī)則的常用漢語拼音；不存在有特殊意義的字母和數(shù)字等。

5 實(shí)現(xiàn)Windows主機(jī)安全密碼策略

有些主機(jī)管理員的賬戶密碼設(shè)置的比較簡單，特別是經(jīng)驗(yàn)不太豐富的管理員容易犯這樣的錯(cuò)誤，為防患于未然，使用組策略中的相關(guān)選項(xiàng)進(jìn)行強(qiáng)制的密碼安全策略指派。輸入“gpedit.msc”，進(jìn)入組策略界面，選擇“計(jì)算機(jī)配置windows設(shè)置賬戶策略密碼策略”進(jìn)行相關(guān)設(shè)置。

5.1 啟用密碼復(fù)雜性要求策略

啟用該策略后，在更改或創(chuàng)建賬戶（密碼）時(shí)會(huì)執(zhí)行復(fù)雜性策略檢查，密碼必須符合下列最低要求：密碼不能包含賬戶名；密碼不能包含用戶名中超過兩個(gè)連續(xù)字符；密碼長度至少為6位；密碼至少包含大寫字母、小寫字母、數(shù)字、特殊字符四類字符3個(gè)。

5.2 啟用密碼長度最小值策略

對于主機(jī)密碼來說，密碼長度也要進(jìn)行限制，找到“密碼長度最小值”選項(xiàng)，在設(shè)定窗口將最小密碼長度設(shè)為12，如此主機(jī)系統(tǒng)用戶的密碼安全將大大增強(qiáng)。

5.3 強(qiáng)制密碼更改時(shí)間策略

如何在盡量不影響正常使用的前提下，盡量限制暴力破解的時(shí)間呢，或者從攻擊者角度來考慮，如何極度降低破解成功率，則采用限制密碼使用時(shí)間，進(jìn)行經(jīng)常性的修改是不粗的安全策略。通常建議設(shè)置密碼過期天數(shù)為30到90之間。

5.4 啟用強(qiáng)制密碼歷史策略

為了防止管理員經(jīng)常性、習(xí)慣性地使用幾個(gè)固定密碼進(jìn)行循環(huán)使用，則需要啟用該策略。

5.5 錯(cuò)誤鎖定策略

為防范暴力破解主機(jī)賬戶登錄密碼，需要設(shè)置賬號登錄的最大次數(shù)，如果攻擊者嘗試登錄該賬戶超過設(shè)定值，則賬號自動(dòng)被鎖定，在管理員重置被鎖定賬戶或鎖定時(shí)間期滿之前無法再次使用改賬戶，從而避免被連續(xù)嘗試和攻擊。

在“賬戶鎖定策略”中可以將登錄嘗試次數(shù)設(shè)置為5到10次左右為宜。同時(shí)需設(shè)置“賬戶鎖定時(shí)間”，通常情況下建議設(shè)置一個(gè)非常長的時(shí)間，比如400分鐘，一邊讓可能被攻擊的賬戶無法在短時(shí)間內(nèi)再次進(jìn)行登錄嘗試。

參考文獻(xiàn)

[1] 李江濤.局域網(wǎng)服務(wù)器安全管理與維護(hù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，6：29-30.

[2] 丁瑞麒.如何做好服務(wù)器安全[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2015，41（1）： 1008-1739.

[3] 程浩.服務(wù)器安全維護(hù)技巧[J].中國現(xiàn)代教育裝備，2015，16：23-25.

[4] 陳曉燕.加強(qiáng)網(wǎng)站服務(wù)器安全維護(hù)的技巧[J].通信世界，2015，21：45.

[5] 劉曉靜. 服務(wù)器的安全與防護(hù)[J].電子技術(shù)與軟件工程，2014，9：19 .

[6] 西安交大捷普網(wǎng)絡(luò)科技有限公司.構(gòu)建服務(wù)器的全面安全防護(hù)體系[J].信息安全與通信保密，2014，4：62-64.