iT邦幫忙

2021 iThome 鐵人賽

DAY 12
0
Security

讓 Hacking for Dummies 一書陪我 30 天系列 第 12

Day 12 - 密碼攻擊的因應

出於書本 Chapter 7. Passwords

因應對策

一開始書上舉了最簡單的例子便是「建議使用者為不同的系統建立不同的密碼」,但缺點便是要想辦法記下這群密碼,直覺可能是暫時的抄在某個地方,但就不是一件好事情。

密碼的強度是很重要的,但是也不太可能期待使用者都記住霹靂無敵複雜的密碼,或者每一兩週就去更新密碼。反過來說,也不可能為系統設定強度很低的密碼,或是乾脆不要設定。也就是 必須要在**安全性與便利性**之間取得平衡

密碼保存

將密碼鎖在安全的地方,或是記錄在加密的檔案或是資料庫裡。其中一個可以使用 PGP (Pretty Good Privacy) 加密軟體進行加密。

不要再把密碼抄在 N 次貼上了

管理策略

可以向使用者展示如何建立較為安全的密碼,強度較強的密碼會遵循以下原則

  • 至少大小寫字母與數字混用
  • 不要用有意義的單字或單字做為密碼
  • 至少半年或是一年變更密碼
  • 每個系統都使用不同的密碼,而且長度不相同
  • 不要用與英文字母長相相似的數字代替字母,比如 password ⇒ pa55word 等
  • 更換密碼時,至少在輪替過四組或五組之後在重複使用。
  • 使用有密碼的螢幕保護程式
  • 千萬不要與人分享密碼
  • 避免將密碼放置在不安全的地方,比如沒有加密的表單上。

還有教育使用者如何避免被社交工程攻擊。

其他對策

  • 使用安全性稽核方式來監控以及追蹤攻擊
  • 使用工具來檢查是否有密碼被永久存放在記憶體或是硬碟裡,或是安裝防毒與反間諜程式保護系統
  • 保持系統都有被 Patch
  • 定期關閉或是刪除太久沒有被使用的使用者帳號
  • 開啟連續嘗試密碼X次後就鎖住使用者帳號
    • 如果有設定自動重置密碼的功能,重置的週期不要設定太短,30 分鐘蠻剛好的
  • 更強的認證 (authentication) 方式,像是 challenge/response、token 或是數位簽章

保護作業系統

以 Linux 與 UNIX 系統來說,可透過以下幾種方式來預防密碼攻擊

  • 確保系統使用 shadowed password [1]
  • 避免弱密碼在系統中被建立,可以使用作業系統裡內建的 password filtering 或是其他密碼稽核程式。
  • 確認沒有重複的 root UID 在 etc/passwrd 檔案裡

終於把這章文字的部分給讀完了,明天想裝個密碼破解軟體試試。

[1] shadowed password,簡單的說是指真正的密碼被存放在另外一份檔案,原本的 /etc/passwd 沒有包含密碼資訊 (參考這裡)


上一篇
Day 11 - 密碼攻擊方式
下一篇
Day 13 - 密碼破解軟體初體驗
系列文
讓 Hacking for Dummies 一書陪我 30 天30

尚未有邦友留言

立即登入留言