返回
集中弱口令检查系统的分析与设计

集中弱口令检查系统的分析与设计

ID:46155309

大小:71.50 KB

页数:9页

时间:2019-11-21

集中弱口令检查系统的分析与设计_第1页
集中弱口令检查系统的分析与设计_第2页
集中弱口令检查系统的分析与设计_第3页
集中弱口令检查系统的分析与设计_第4页
集中弱口令检查系统的分析与设计_第5页
资源描述:

《集中弱口令检查系统的分析与设计》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、集中弱口令检查系统的分析与设计摘要:账号口令安全是保障各类设备安全的至关重要的基础,但长期以来,弱口令一直作为电信企业常见的高风险安全问题存在。为了解决口令核查可能影响业务及效率低下的问题,从集中处理密文和优化弱口令字典库等方面出发,提出了一种能够进行集中的弱口令检查方案,能够支持大规模弱口令检测常态化的需要。关键词:弱口令;口令字典;暴力破解0引言弱口令是指容易被破解的口令,如123456等。长期以來,弱口令一直作为各种安全检查、风险评估报告中最常见的高风险安全问题存在,成为攻击者控制系统的主要途径,许多安全防护体系是基于密码的,口令被破解在某种意义上来讲意味着其安

2、全体系的全面崩溃。通信运营商的设备通常数量多,类型杂,以某省移动公司为例,一个网络部位维护的设备有几千台,类型上百种,无法进行有效的、全量的弱口令检查,且运营商系统往往具有24小时不间断提供业务的特点,要求口令检查不能影响业务。同时,通信企业内的弱口令除了安全界通用弱口令外,还包括常见的设备缺省口令、维护人员习惯设置的常见弱口令等,这些口令较为隐秘,除使用人外一般无法发现。特别是系统缺省弱口令,是发生第三方人员“越权使用、权限滥用、权限盗用”等违规行为的一个重要原因。1现有弱口令检查技术分析1.1密码破译原理弱口令检查的实现基于密码破译,密码分析者破译或攻击密码的方法

3、主要有穷举攻击法、统计分析法和数学分析攻击法。穷举攻击法又称为强力或蛮力(Bruteforce)攻击。这种攻击方法是对截获到的密文尝试遍历所有可能的密钥,直到获得了一种从密文到明文的可理解的转换;或使用不变的密钥对所有可能的明文加密直到得到与截获到的密文一致为止;统计分析法就是指密码分析者根据明文、密文和密钥的统计规律来破译密码的方法;数学分析攻击是指密码分析者针对加解密算法的数学基础和某些密码学特性,通过数学求解的方法来破译密码。数学分析攻击是对基于数学难题的各种密码算法的主要威胁。由于操作系统口令加密往往采用了MD5或SHA-1等不可逆加密算法,而且在企业屮使用的

4、操作系统类型往往较多,因此无法用统计分析法和数学分析法来检查系统中存在的弱口令。对于实际应用中的密码系统而言,至少存在一种破译方法,即穷举法。利用穷举法进行暴力破解是较多的弱口令检查工具釆用的方法,如Johntheripper>LC5>RainbowCrack>Ophcrack等破解工具,为了避免计算量过大和破译时间太长,这些工具往往使用了口令字典,只对字典里的口令进行尝试。1.2弱口令核查方式分析目前弱口令核查采用主要采用两种方式:远程连接网元反复尝试登录帐号口令的方式和登录主机等设备获取口令文件进行离线单机破解方式。远程连接网元、尝试登录帐号口令方式存在以下问题:

5、%1有损探伤,极易造成配置了帐号锁定策略的设备死锁,影响用户止常访问;%1由于考虑对网元设备存在影响,不能开展超大字典库的尝试,因而往往集中于出厂缺省帐号配置和少量其它弱口令,不能更加全面发现不符合强口令策略的其它弱口令;%1由于只尝试登录从互联网可以访问到的设备,无法实现防火墙隔离的内网设备的弱口令核查;%1由于采用尝试登录可连接的设备进行弱口令核查,没有口令破解算法模块,不支持离线对口令文件的检查,未购买相应工具的省公司无法借助己有平台完成所有防火墙内、外网设备的弱口令核查。人工登录主机等设备获取口令文件,利用带弱口令字典的破解工具进行离线、单机破解方式主要存在以

6、下问题:%1分散化,弱口令字典分散在各个离线破解的工具当中,无法进行统一、高效的配置和管理,如弱口令字典库升级,无法做到一点升级全网有效,及时更新最新弱口令字典;%1人工工作量口大,包括逐个设备获取文件、破解结果统一分析形成报告等等;%1效率低下,无法实现定期、全网性弱口令排查。%1需耍获得H标机器的密码密文文件。2集中弱口令检查系统体系架构设计2.1集中弱口令检查系统主要需求集中弱口令检查系统是为实现対通信运营商全网所有网元中的所有帐号口令强度的高效、全面、准确、及时掌控,整合现有安全技术手段,引入和优化现有口令检查工具的方法,从而实现大规模口令的常态化检查,支持完

7、全不影响业务系统正常运行的、以在线或者离线获取各网元口令文件、后台集中破解为主耍特征的“无损探伤”模式弱口令核查功能,支持集中核查各类在网主机、数据库、网络设备、应用系统的弱口令核查功能,以实现全面掌控在网设备口令设置情况的目的。主要有4个方面需求。%1建设符合企业和运维特点的弱口令字典:自动或手工搜集全网各类主机、网络设备、应用、数据库等网元常见出厂缺省配置、基于维护习惯选择等导致的弱口令,结合互联网上典型的字典库,形成具备企业特有的弱口令字典。%1密码密文(口令文件)采集:通过4a(即集中账号口令管理系统)提供的连接网元的网络通道,采集各类主机、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。