摘要：北约对南联盟的轰炸引起了“黑客”世界大战，许多站点被攻击，安全专家又一次受到挑战。尽管安全保护措施不断出台，系统软件不断增加安全防范功能，但黑客的手段也日渐高超，正所谓“道高一尺，魔高一丈 ”，安全理论和技术在这场拉锯站中也将日臻复杂。
关键词：有效口令 设置 防范系统
前言
   再复杂的安全防范系统都有一道最重要的防线：身份认证——对想访问系统和其数据的人进行鉴别交检验其身份，这便引入了人为因素，因此，它就成了黑客最感兴趣的安全漏洞。
身份认证有四种主要方法：一是对用户所知道的信息进行认证，要求用户输入一些保密信息，如用户名和口令等；二是用所拥有的物理识别设备进行认证，如访问卡、钥匙或令牌等；三是对用户的基本特征进行认证，采用生物统计学系统，基于某种特殊的物理特征对人进行唯一性识别，如指纹、视网膜血管分布图等；四是用下意识动作进行认证，要求用户进行一些别人无法模仿的动作，如笔迹、击键习惯等，然后提取数据结果进行校验。后三种方法的实现非常困难，而且成本昂贵，一般除安全保密部门之外都不使用。最常见的身份认证方法是口令法，这种方法易于实现，并能有效识别用户的身份。
一、        对口令的攻击
在计算机安全系统中，用口令进行身份认证是防止入侵的第一道重要防线，黑客若没有获得一个有效的口令，要想闯入计算机系统就很困难。wwW.11665.COm因此，黑客攻击的第一步便是设法收集口令。
口令丢失不仅是你个人的损失，而且黑客通过你的口令进入系统后，会利用你的帐户权限破坏整个系统，或以此为跳板攻击其他系统。因此，选择一个安全有效的口令是非常重要的。
什么样的口令才算有效呢？只有知道黑客如何破获口令的，才能设置出他们解不了的口令，这样的口令才算有效。
黑客破解口令时一般先尝试使用用户名及其各种排列或加上数字、标点符号等，如果他了解用户很多的信息，比如生日、电话号码、家人或宠物的名字等，他会不断地尝试，若都不正确，就会采用以下两种方法：
一是“口令入侵者”——可以解开口令或者屏蔽口令保护的程序。口令入侵者并不能真的解开单向加密的口令，而是使用仿真工具，利用与原口令程序相同的方法，通过对比分析，用不同的加密口令去匹配原口令。许多“口令入侵者”都借助字典文件进行“蛮力”攻击，以很高的速度一个接一个地去试，最终会碰到正确的口令。
二是利用“特洛伊木马”——提供了用户所需用要的功能同时隐含了不良动机的程序，它会在你不了解的情况下拷贝文件或窃取密码。这类程序可能通过各种途径进入计算机，但又很难被发现。比如有些窃取密码的程序伪装成系统登录屏，等你输入帐号和口令，然后提示“口令不正确”或“系统出故障，请重新登录”等信息，再转到真正的系统登录屏，有的程序会给用户造成一种系统无意中退出的印象，当重新显示登录屏时，用户就会输入登录信息，这样信息就被记录下来传给了黑客。
二、        选择有效口令
黑客攻击口令很厉害的一招是“蛮力搜索”——逐个尝试各种可能的口令组合，但他们往往不用这个方法，而是根据人们的习惯进行猜测。为此，选择有效的口令可从以下几个方面入手：
（1）       千万不要使用你的有户名或真名做口令。安全行业把用户名做口令的帐户称为joe，它是黑客测试的第一个口令。
（2）       不要认为口令只能是数字，或只能是字母，口令可以使用：26×2（大小写字母）+10（数字）+33（标点符号）=95个字符。一个好的口令应包括大小写字母、数字、标点符号等，不要认为这很难记，如“1q23l，yc45j.”可以记成“一去二三里，烟村四五家。”，这种口令虽然复杂，但很好记，又很难被搜索到。
（3）       口令越长，“蛮力搜索”需要的时间就越长。过去专家建议至少要取6位字符口令，而以现在的机器速度，6位口令并不可靠。如果取一个好的8字符口令，其各种组合大约为6.63e15种，在高速计算机上每秒算1百万次，使用“蛮力搜索”平均需要1百年时间。
（4）       不要使用你的配偶、孩子、宠物、朋友或所在地的名字，以及生日、证件号码、电话号码等有关你的任何信息做口令，因为有时黑客并不遥远，他可以搜集你的很多住处在你的机器上进行攻击，因此不可不防。说到此，还要提醒你提防“肩部冲浪者”他会在你键入口令时记住它。
（5）       不要使用任何语言的单词或单词的变形作口令，“口令入侵者”可以搜索很多词典，再加上破译过程是由程序自动完成的，因此，有可能只需几个小时，便可破译口令，它比“蛮力搜索”要快得多。

（6）       千万不要将口令以任何方式写下来，更不要存在文件中，如果脑子记不住，就换一个。
（7）       千万不要将口令告诉他人，无论他是谁或声称是谁！黑客是很好的“社会工程师“，他会不遗余力巧妙耐心地说服你将口令或其他敏感信息泄露给他，甚至伪装成系统管理员要求用户提供口令。
（8）       在不同的登录中不要使用同一个口令。有些口令的存放或传输是以明文或简单加密方式进行的，一旦被黑客获取，他便可以打入到你能进入的系统。
（9）       永远不要对你的口令过于自信，要定期更换口令，不能重复使用同一个口令，这样可以避免“执着”的黑客进行“蛮力搜索”，或即使口令泄露，黑客也无法长期使用它。
（10）   如果登录过程中出现了令人意外的现象，如你肯定输对了口令，系统却显示“口令不对”或“系统出故障，请重新登录”等信息时，要考虑到是否有“特洛伊木马”伪装的登录屏套取你的口令或用户名？此时可请系统管理员进行分析，以防患于未然。
如果每个用户都遵循以上十条规则，你的口令就会很有效，黑客也会对它大伤脑筋。笔者认为没有几个黑客会真的使用“蛮力搜索”，如果破坏不了口令，那他只能去搜录系统的其它漏洞了。
三、        设置用户帐户
目前，在有些操作系统中设计了较好的安全帐户策略，如windows nt，如果用户能正确设置，口令就会安全有效。
以windows nt（中文版）为例，系统安装完毕后，用户应首先进入“程序”→“管理工具（公用）”→“用户管理器”，在“策略”菜单中选择“帐号”，会出现“帐号规则”窗口（如图1所示）。其中各项的功能如下：
（1）       密码最长期限：用户应规定口令更换时间，到时强制更换口令，不能让口令永久有效。一个口令最多用四个月，故可将密码最长期限设为90-120天。
（2）       最短密码长度：用户应限定口令的最短长度，以目前的计算机速度来说，口令应在8字符以 上，至少不能少于7字符。绝对不允许有空密码，否则黑客就会毫不费力地侵入你的系统。
（3）       最短密码期限：可根据你的喜好设置，各有利弊。如果允许立即更改，则方便了用户，同时也方便了黑客；如果允许几天后更改，本文来自范文中国网。用户有时可能感到不便，这也使黑客不能随意修改你的口令。
（4）       密码唯一性：如不保存口令记录，用户有可能用了旧口令，而这个口令也许已被黑客掌握；若保存口令记录，黑客一旦取得记录文件，就可以分析这些口令，较多的信息会使他容易破译出现用的口令。不过最好还是不保存口令记录，而将它记在脑子里。
（5）       帐号锁定：该项一定要启动，它可以使通过猜测帐户口令设法登录的企图失败。登陆时不允许反复尝试口令，若三次键入都不对，显然不是手误，这时就该锁定该帐户。如果选择永久锁定，用即使再使用正确的口令也无法登录，这样系统管理员就能够知道发生了一次安全攻击事件。
（6）       应启动“用户必须登录方能更改密码”的功能，这样只有真正知道现有口令的用户才能修改它，而不会被黑客随意修改。
四、        结束语
网络的安全是至关重要的，只有保证了网络的安定，才能充分发挥网络的功效，否则，后果将不堪设想。据网站安全调查结果表明：80%以上的安全侵犯是由于口令拙劣引起的。可见，如果用户按照本文所提供的方法选择和设置保护口令，就能避免黑客80%的入侵，大家一定要悉心采纳哦。