在網絡中每一個用戶都有一個自己的賬號和密碼,賬號和密碼的安全性就直接關系到用戶的系統安全和數據安全。在Windows Server 2003操作系統中有兩種不同類型的用戶賬戶。下面就告訴大家一些有關於賬號密碼安全方面上的知識。
每個人在網絡中都有一個代表“身份”的名稱,稱為“用戶”。用戶的權限不同,對計算機及網絡控制的能力與范圍就不同。Windows Server 2003操作系統中有兩種不同類型的用戶賬戶,即只能用來訪問本地計算機(或使用遠程計算機訪問本計算機)的“本地用戶賬戶”和可以訪問網絡中所有計算機 的“域用戶賬戶”。用戶賬戶是進入網絡的鑰匙,對用戶權限的管理直接關系到網絡中應用系統的安全。安全的實質就是權限的使用,而權限又是被賦予每一個用戶 的。因此,要確保用戶只擁有必要的權限,確保用戶的密碼不被破解。總之,只有確保用戶賬戶的安全,才能實現真正的系統安全和數據安全。
密碼是用戶登錄Windows Server 2003系統的鑰匙,如果沒有鑰匙總是要費一番力氣後,才能登錄到目標操作系統。無論入侵者采用何種遠程攻擊,如果無法獲得管理員或超級管理員的用戶密 碼,就無法完全控制整個系統。若想訪問系統,最簡單也是必要的方法就是竊取用戶的密碼。因此,對系統管理員賬戶來說,最需要保護的就是密碼,如果密碼被 盜,也就意味著災難的降臨。
入侵者大多是通過各種系統和設置漏洞,獲得管理員密碼來獲得管理員權限的,然後,再實現對系統的惡意攻擊。賬號的弱密碼設置會使入侵者易於破解 而得以訪問計算機和網絡,而強密碼則難以破解,即使是密碼破解軟件也難以在短時間內辦到。密碼破解軟件一般使用3種方法進行破解:字典猜解、組合猜解和暴 力猜解。毫無疑問,破解強密碼遠比破解弱密碼困難得多。因此,系統管理員賬戶必須使用強密碼。
據統計,大約80%的安全隱患是由於密碼設置不當引起的。因此,密碼的設置無疑是十分講究技巧的。在設置密碼時,請遵守密碼安全設置原則,該原則適用於任何使用密碼的場合,既包括Windows操作系統,也包括UNIX/Linux操作系統。
1)不可讓賬號與密碼相同
如果將密碼設置為與用戶賬號相同的話,那麼幾乎所有的密碼破解軟件都將輕而易舉地將密碼探測出來。
2)不可使用自己的姓名
使用自己的姓或名,甚至是姓名作為密碼,實在是不堪一擊。對於本單位和熟悉本單位的人來講,姓名無疑是攻擊的首選,因為這幾乎誰都能猜得到。另外,在許多入侵者編寫的密碼猜解字典中,往往將百家姓一一列出,並放在字典的前列。
3)不可使用英文詞組
一些常用或別致的英文單詞往往是用戶設置密碼時的最愛。在他們看來,這類密碼既便於記憶,又突顯自己的個性。但事實上,那些絕頂聰明的入侵者也早已猜到並詳細地將其編入密碼猜解字典之中,因此,常用英文詞組絕不可用作密碼。
4)不可使用特定意義的日期
以具有特定意義的日期作為密碼是任何人都十分喜愛的。這一類日期通常有自己的生日、父母的生日、兒女的生日、朋友的生日、重大節日以及個人紀念 日等。不用說熟悉的人可以猜得到,即使是陌生人也可以通過窮舉的方式而得手。在入侵者的密碼猜解字典中,幾乎全部羅列以上所有的幾個組合。
5)不可使用簡單的密碼
一個密碼暴力猜解軟件每秒鐘可以嘗試10萬次之多。字數越少,字符越簡單化,排列組合的結果就越少,也就越容易被攻破。
綜上所述,若要保證密碼的安全,應當遵循以下規則:
◆用戶密碼應包含英文字母的大小寫、數字、可打印字符,甚至是非打印字符。建議將這些符號排列組合使用,以期達到最好的保密效果。
◆用戶密碼不要太規則,不要使用用戶姓名、生日、電話號碼以及常用單詞作為密碼。
◆根據Windows系統密碼的散列算法原理,密碼長度設置應超過7位,最好為14位。
◆密碼不得以明文方式存放在系統中,確保密碼以加密的形式寫在硬盤上並包含密碼的文件是只讀的。
◆密碼應定期修改,應避免重復使用舊密碼,應采用多套密碼的命名規則。
◆建立賬號鎖定機制。一旦同一賬號密碼校驗錯誤若干次,即斷開連接並鎖定該賬號,經過一段時間才解鎖。