浅谈社会工程学入侵与防范.docVIP

浅谈社会工程学入侵与防范 　　摘 要：当今社会信息化正向人们生活的各个角落逐渐渗透，公司的机密文件及关于个人隐私的信息越来越多的依靠计算机进行存储。而处于各种目的的窃取公司或个人信息的行为也逐渐出现。文章以窃取信息的方式作为切入点，针对目前流行的以社会工程学为辅助手段的密码破译行为进行分析并提出解决办法，为人们提供一个友好安全的网络环境。 　　关键词：密码；社会工程学；穷举 　　中图分类号：TP309 文献标识码：A 文章编号：1000－8136（2011）27－0066－02 　　 　　随着个人计算机和互联网的发展，个人隐私等各种各样的个人信息越来越多的存在计算机与网络之上，而窥探他人秘密的人也应运而生，他们的目的各种各样，出于商业的竞争、好奇心的作用、自我成就感的满足、报复心理的作用等等。网络上各种入侵的方法、技术层出不穷，人们对个人隐私的保护最常用的方法就是设定密码。而针对密码破解的方法也越来越多，目前网络上流行的工具可以让一个初级的黑客也能破解一些密码。而对于更高级的密码破解，则不仅是依靠单一的软件进行，而是要用到社会工程学这一技术。本文将从利用社会工程学这一技术破解密码去分析，如何设定安全的密码来保护个人的信息。 　　目前，密码破解最基本的方法就是穷举法，其基本思路如下：利用计算机处理信息快的特点，将所有可能用到的密码组合进行逐一的验校，直到成功为止。理论上说，只要时间足够没有任何一个密码是安全的。但穷举法的问题在于它要逐个对有可能的组合进行验证，通常入侵者不可能将所有的密码组合验证一遍，比如aa19G8*^这样的密码如果按照穷举破译的话以现有计算机的速度至少要5年以上，这显然是入侵者不愿意看到的。 　　而更有经验的入侵者会运用社会工程学原理辅助进行密码的破译。首先看一下社会工程学（Social Engineering）的定义：社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。总体上说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。 　　社会工程学同样也蕴涵了各种各样的灵活的构思与变化着的因素，无论何时，在需要套取到所需要的信息之前，社会工程学的实施者都必须掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作，这些工作甚至要比其本身更为繁重。总之，社会工程学就是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。 　　利用社会工程学入侵者可以有针对性的对入侵对象编辑密码字典即只将有可能的密码组合作为验证的范围，这样有的放矢的进行破译，不仅大大缩短了破译时间，也提高了入侵的准确性。当然，在入侵中，入侵者还会根据已经掌握的资料对入侵对象进行进一步的分析，主动分析入侵对象的密码设定方式，分析对方心理，从而更快的破解出密码，这便可以看作是社会工程学的简单应用。 　　通常分析会从以下几个方面入手： 　　1 名字的缩写 　　对中国人来说，一般都没有英文名的习惯，所以很多人用中文拼音做密码，一般人去论坛等地注册一个用户名，由于简称很容易被别人先用，所以一般用全称。这里说的是名，如果是密码，一般要倒过来考虑，先从简称再全称，理由很简单：短，输入时间快。 　　2 简单的数字组合 　　数字也是用地很多的，且根据一般人的心理用得最多的密码是：123、123456，特别是新手。一般人密码是三位或者是六位。下面一些也是常用的：1、11、111、123、168、1314、520（特殊意义的数字）。 　　3 生日、电话号码作为密码 　　由于人们怕忘记，而自己的生日或家里的电话是不会忘记的，所以就用生日、电话号码作为密码。上述的六位，所以刚刚好。在用户看来省事，比如一个人的生日是1979年1月2日，一般的习惯是：六位就是790102，四位是7912。 　　如果月和日是只有一位的，也就是1～9，一般人就用四位的，如：7632，而不是760302，如果日期是双位的，10～31，一般人也就用到六位而不会是五位，如：760321而不是76321。如果月是双位，一般日就是双位的，如：761203，而不是76123。总体来说，也就是月和日都是同样位数的。因为这样比较美观。也有人不用日，只用月，如：763，而对中国人来说7603用得少，因为0看起来是多余的。其实只要细心便不难发现，大多数人在设定密码时都或多或少的会有这方面的习惯。 　　4 常用单词或组合 　　用简单