网络安全实验原理2.docVIP

实验原理 ? 一.什么是密码心理学??? 密码心理学就是从用户的心理入手，分析对方心理，从而更快的破解出密码。掌握好密码心理学可以缩短破解时间，快速获得用户信息。??? 密码心理学的研究者做过一个实验，实验是这样设计的：随机抽取100名大学生，让他们每人写下两个单词，并且告诉他们，这两个单词将用作重要系统的管理员密码，请慎重选择。??? 这个实验的结果令人相当吃惊：37人使用了自己的中文姓名全拼或者简拼；23人使用了常用的英文单词如hello，good等；18人选择了计算机中常用的单词如system，admin，administrator等；7人使用了自己的生日801010，101080等。这项实验的目的就是为了查看一般计算机用户在选择重要密码时的心理状态，按照用户选择密码的依据，我们不妨将这些依据分类，每一类称为一个密码特征，那么一个密码就是由一个或者多个密码特征组合而成的。??? 密码本身的保密性是来源于其随机性，整个密码的被猜中概率(P)是多个密码特征概率的乘积，只有所有密码特征概率（Pi|i=1,2,3,……n）都处在一个较低的水平上时，整个密码才是安全的。可以用公式表达成： ??? 我们还可以看出，当特征数量增多时（即n比较大），密码的安全性也较高。??? 然而实验结果显示出了某些心理状态的高概率分布——姓名被选中的概率高达37%，简单英语被选中的概率高达23%。这意味着一个采用操作员姓名拼音做密码的计算机有37%的概率被攻破，这样的密码基本上已经完全丧失功能了。二.密码特征分析??? 我们常用的一些密码特征分析如下：1.姓名特征??? 非常不赞成使用，无论是拼音全拼简拼还是英文名，都具有十分高的被猜中概率，非常不安全。2.数字特征??? 这些特征包括生日、电话、员工号码、门牌号码等。纯粹的数字密码假设有N位，那么每位的独立被猜中概率为1/10，密码整体完全被随机猜中的概率为1/()；而我们如果采用了字母和数字混合的方式构造N位密码，则它的完全被随机猜中的概率降为1/()，当N4时，两者的概率相差将非常大。3.长度特征??? 长度是另外一个关键特征，过短的密码会很容易被暴力破解（穷举）。0位的密码会使大部分人成为入侵者，也会让一些人自豪的自称为“黑客”，并在别人桌面上留下一份“黑客声明”。一般来讲，应用于关键计算机系统的8位以下的密码都是不推荐的。当然过长的密码可能不便记忆也不便输入，一般很少见到有人使用一个包含256个字符的密码。4.密码关联概率??? 所谓密码关联概率，是指同一个系统管理员在不同应用场所所使用的密码之间相同或者具备某确定规律的概率。不幸的是，大部分人都使用了高度关联的密码。举例来说，一个用户用“Hu73WQ0Oue31Nmvb4”作为自己计算机管理员密码（很高兴的看到，这个用户已经采用了非常安全的密码），但是不幸的是他的疏忽造成了此密码被泄漏，更加不幸的是他在网上银行、网上私人空间等均采用了相同密码——后果是可想而知的。另外一个例子是某企业网络中有100台计算机，计算机1号的管理员密码是“admin001”，2号计算机的密码则是“admin002”。依据这两条信息，弱智也能猜到3号计算机的密码是“admin003”——遗憾的是，许许多多管理员的智力，并不比弱智好多少，原因居然是：他们认为自己太聪明了！5.用户名特征??? 用户名与密码配对使用，然而这里也有大量玄机。此特征中被猜中概率最高的行为，就是采用了与用户名一样的密码。那么用户帐号“admin”使用“adminpassword”做密码安全吗？我告诉你，它的安全性仅仅比采用“password”做密码好一点点。此外，本文开头所描述的案例中还暴露了一个问题，那就是计算机中应该只允许必须要用的帐户存在，大部分人并不需要使用系统默认的“Administrator”或者“guest”登录，那么就应该删除此帐号。6.有效期特征??? 许多人懒于定期修改密码，这样，一个儿时的玩伴可能在你80岁的时候窃取你银行中的所有养老金，而你却不知道何人所为。有效期特征是所有特征中非常有趣的一个，它拥有一个时间参数——随着当前密码应用时间的增加，此特征被猜中的概率也在增加。增加的原因可能来自于越来越多的个人信息、习惯被黑客所掌握；也可能是有一台超级计算机正在用穷举法破解你的密码，并预计在一个月后得到结果；也可能是一个黑客早已得到你的密码，可是为了不至于很快被警察捉到，于是等到1年之后才动手；如果你怀疑自己的帐号可能被他人登录过却并没有损失，不要迟疑，立即修改密码——黑客可能嫌你帐户中的金额还不够多，等着你将家里那100万元存入呢！7.大众密码??? “aaa”、“123456”、“abcd”是不是