巩固帐号安全.pdfVIP

下载 下载 第4章 巩固帐号安全 本章讲述各种能帮助巩固 U N I X 帐号安全的工具和方法。对用户进行各种工具的使用培训 能够检查出薄弱的口令并赋予一个更强壮的口令。讲述通过隐藏薄弱口令来保护它们的影子 口令系统，以及结构化发展口令机制使口令攻击更加困难。还讲述一次性口令和 P l u g g a b l e Authentication Modules （PA M ）— 一个灵活控制帐号访问的系统。最后对帐号安全工具进 行了评述。 4.1 加强口令安全 上一章描述了容易猜测的口令中常见的问题（参见 3 . 3 . 3节），有5种主要方法可以让系统 管理员增强口令安全： • 用户培训—传授正式的口令策略。 • 进行口令检查—运行口令检测程序来找到薄弱的口令。 • 分配口令—为用户提供口令，这样可以使他们避免选择薄弱的口令。 • 提前进行口令检查—不允许在开始时就选择差劲的口令。 • 口令更换—强迫用户以某一频率来更改口令。 另外，口令安全的威胁可以通过以下措施来减缓： • 影子口令—把口令保存在一个受保护的“影子”文件中而不是 / e t c / p a s s w d 。 • 一次性口令—为每个用户提供一个只使用一次的口令列表。 上述每种方法都有赞成和反对意见。它们有些存在于基本的 U N I X产品，其他的则需要增 添进去。在4 . 6节的工具清单中可以找到它们。下面对它们依次进行讨论。 为了帮助用户决定在系统中使用哪几种，后面将对这些措施进行深入的描述。 4.1.1 策略传播 一个强壮的、表达清楚的口令策略对一个拥有许多用户的大型系统是很重要的。口令策 略很大程度上可以通过软件来加强，但这不能有效地代替对用户的培训和宣传。如果机构没 有形成一个描述口令政策的文档，则要考虑创建一个。强调每个用户在道德上的义务可以保 护整个团体：甚至一个“不重要的帐号也可能成为攻击其他用户的登陆场”。 提示 可以在Internet上找到几种策略模式来帮助形成正确的结果。CERN高能物理实验 室提出了一个可在如下站点找到的模式。 http://consult.cern.ch/writeup/security/security-3.html # SEC7 当用户培训成为任何口令安全规划的一个重要因素时，它本身并不能提供足够的保护。 例如，在一个人员高度流通的环境中它可能不很有效。甚至“专家级”用户也不很清楚他的 口令选择有多么不安全，培训经常变动的新手是一个很大的挑战。最终，系统管理员比其他 个人用户拥有一个强壮的多的口令。严格地讲，培训不是一种“加强”的措施。软件保护程 第4章 巩固帐号安全 35 下载 序将提供更强大的保护。 警告 在任何口令策略文档中给出建议时要小心。建议的任何算法都能用来降低突破口 令所需的猜测次数。例如，下面建议使一个攻击者能更容易地建立破坏程序：“选择两 个单词并把它们用特殊字符或数字隔开，例如：Robot 4 my ，eye-con or kid ? goat”。 4.1.2 进行口令检查 一种老式的 U N I X 口令安全方式是运行一个程序来检查一个被用户选择的口令的可猜测 性。Alec Muf f e t t 的C r a c k程序运行不同的口令猜测过程，从用户名重复到多字典充分匹配尝 试。它向系统管理员报告成功猜测的口令并向口令的拥有者发送“ n a s t y g r a m s ”邮件（参见第 5章）。另一个叫“John the Ripper ”的程序也有类似功能。这些程序都通过检测来提供安全。 进行口令检查的缺点是猜测口令要占用大量的计算资源（ C P U时间，磁盘空间），特别是 检查大量的口令。当今更快更便宜的硬件使其障碍降低。一个更本质的问题是在用户选择好 薄弱的口令到口令检查程序检测到它之间有一个时间上的空档。 C r a c k可以定期运行，但总会 给攻击者留下一个空档机会。 这种方法的另一个缺点是： C r a c k运行产生否定报告，