一种普遍的社会工程学的反思
很多黑客的入门是从破解口令开始的!而是解密口令变成了由为重要的一门必修课,今天我想谈的不是如何去破解口令,而是一篇关于口令的心理学文章!如果下述的一些列子正好与你的口令设置大同小异,那么请你马上改了它,你的口令被破解的可能性很大很大!
首先要说明的是许多root由于采用口令保护的方法,当他的口令设置完之后,检测程序会自动提示口令的不安全性,直到ROOT改成了没有规则的口令。所以对这些口令用口令心理学来分析是白费工夫了!
我们主要针是对一些普通的用户!当我们设定口令时一般的人都会用自己熟悉的单词,这样能使他们便于记忆!没办法,人天生就懒惰!那么哪些单词是容易记住的那!是不是没有规律呢?我们可以来做一个心理试验!试验是这样的我从大学中抽出了一百名学生,然后要他们写下二个单词!并告诉他们这个单词是用于电脑的口令非常重要,且将来的使用率也很高!要求他们尽量慎重考虑!
好啦!我们来把测试结果分析一下吧!
1,用自己的中文拼音者最多。37人
这就告诉我们口令破解字典档应针对中国的特列!要用一些中文姓名拼音的字典档!
如:wanghai ,zhangli,shenqin等等!
2,用常用的英文单词 23人
其中许多人都用了很有特定意义的单词,如:hello,good,happy,anything,等等!
3,用计算机的中经常出现的单词 18人
这些单词中还有操作系统的命令,如:system,command,copy,harddisk,mouse,等等!
4,用自己的出生日期 7人
其中年月日各不相同!但其中有3人用了中国常用的日期表示方法!如970203,199703,050498等!上述测试中两个单词相同的有21人,接近相同的有33人!
虽然还有一些人用的我没给他们归类,但还是有规律的!希望上面的心理测试能给你的解密带来一些启示!而不要在盲目的用暴力法了!
谈了这么多的密码猜法, 当然要谈一下如何保护自己的密码不被破解, 请遵守以下的原则:
[1]不用生日作为密码(太容易猜了啦)
[2]不用序数作为密码(除非你的序数无限大)
[3]不用身份证字号作为密码(LetMeIn! 里有猜身份证字号的功能耶)
[4]不用在字典中查得到的字作为密码.
那么依照上面的几点说法, 甚么样子的密码最不容易猜, 自己也最好记呢? 答案是: 用一句有意义的话来作为自己的密码, 例如: NoOneCanCrackIt 就是一个很难猜的密码类型, 基于这个密码猜法的原则, 你的密码是不是要作些更新, 或是大小写要作一些对调? 如果你的密码是 coolfire,建议你最好能改成 CoolFire 或 coolfires (加复数 "s"), 这样被猜中的机率就小了很多。
编者按:其实,在现实中,很少有人真正去思考如何反破解的,尤其是领导阶层,他们根本不愿意把自己的密码设置得很繁琐。但在出事之后,他们又会把罪责怪罪到下面的人头上,简直就是不可理喻。