信息安全实验报告3-1.doc

PAGE PAGE 2 课程实验报告 课程名称 信息安全 班级 1204072 实验日期 2015/5/15 姓名 张雨 学号 120407235 实验成绩 实验名称 账号口令破解 实 验 目 的 及 要 求 （给出本次实验所涉及并要求掌握的知识点） 通过密码破解工具L0phtCrack5(简称LC5)的使用，了解账号口令的安全性，掌握安全口令的设置原则，保护账号口令的安全性。 实 验 环 境 （列出本次实验所使用的平台和相关软件） 局域网内一台计算机安装L0phtCrack5软件 实 验 内 容 及 实 验 步 骤 一、 使用L0phtCrack5破解密码 （1）在Windows操作系统中，用户帐号的安全管理使用了安全帐号管理器SAM（Security Account Manager）的机制，用户和口令经过加密Hash变换后一Hash列表形式存放在SAM文件中。 L0phtCrack通过破解这个SAM文件来获取用户名和密码。它的工作方式是通过尝试每个可能的字母数字组合试图破解密码。 （2）单击文件菜单中的“LC5”向导，设定破解任务，对本地机器进行密码破解。 ○1在主机内建立若干用户名，将其密码分别设置为空密码、纯数字组合密码、特定单词字母密码、任意字母组合密码、字母数字混合密码以及特殊符号字母数字混合密码。 ○2通过L0phtCrack5文件菜单中的LCS向导，设定从本地机器导入加密口令，分别对本地机器进行“快速口令破解”和“普通口令破解”，观察破解结果（要等一段时间直到破解完全结束）。 二、 掌握安全的密码设置策略 暴力破解理论上可以破解任何口令。但如果口令过于复杂，暴力破解需要的时间会很长，在这段时间内，增加了用户用户发现入侵和破解行为的机会，以采取某种措施来阻止破解，所以口令越复杂越好。一般设置口令要遵循以下原则： 口令长度不小于8个字符； 包含有大写和小写的英文字母、数字和特殊符号的组合； （3）不包含姓名、用户名、单词、日期以及这几项的组合； 实 验 内 容 及 实 验 步 骤 （4）定期修改口令，并且对新口令做较大的改动。 学会采取以下一些步骤来消除口令漏洞，预防弱口令攻击。 第一步：删除所有没有口令的账号或为没有口令的用户加上一个口令。特别是系统内置或是缺省账号。 第二步：制定管理制度，规范增加账号的操作，及时移走不再使用的账号。经常检查确认有没有增加新的账号，不使用的账号是否已被删除。当职员或合作人离开公司时，或当账号不再需要时，应有严格的制度保证删除这些账号。 第三步：加强所有的弱口令，并且设置为不易猜测的口令，为了保证口令的强壮性，我们可以利用Unix系统保证口令强壮性的功能或是采用一些专门的程序来拒绝任何不符合你安全策略的口令。这样就保证了修改的口令长度和组成使得破解非常困难。如在口令中加入一些特殊符号使口令更难破解。 第四步：使用口令控制程序，以保证口令经常更改，而且旧口令不可重用。 第五步：对所有的账号运行口令破解工具，以寻找弱口令或没有口令的账号。 总 结 账号设置密码，可以增加安全性，但是密码如果设置的过于简单，很容易被破解，账号丢失的风险就增加，个人详细信息泄露，将会对我们造成一定的损失。所以在设置密码的时候，注意一定的严谨性，防止信息泄露，账号丢失。