由於網路的不斷普及﹐和國際網路的迅猛發展﹐網路安全變得越來越重要了。而保護網路的第一道防線就是使用者帳戶和密碼的。不過道高一尺﹐魔高一丈﹐許多網路攻擊者都能借助簡單的工具就可以破解使用者密碼了。

密碼的儲存方法

在Linux系統裡面﹐所有的使用者名稱和密碼都存儲在/etc/passwd這個檔案裡面﹐不過密碼部份則是經過加密(encryption)處理的﹐所以﹐即使你打開了這個檔案﹐也不能夠直接看到原來的密碼的。我們稱樣的保密方法為“加密(enconde)”﹕當使用者設定好密碼之後﹐系統使用一個隨機產生的變化數值(salt)將使用者輸入的文字轉換成其它文字﹐而這個salt也隨著轉變後的文字一起存儲起來。

所以當您從密碼檔案看到的字元﹐已經不是原來的密碼了。如果使用者從新登錄系統﹐其所輸入的密碼會再被使用相同的方法轉碼﹐看看其結果是否和存放在密碼檔案的salt一致﹐如果一致﹐則可以通過。

破解密碼的方法之一

這樣看來﹐要將這個轉變後的字碼翻譯成原來的樣子似乎是件很困難的事情﹐但一般的駭客都知道﹕有些使用者喜歡使用現成的字詞來做密碼﹐因為他們實在怕忘記了密碼之後找網路管理員時候所看到的黑臉。駭客們就可以使用收集有各種常用字的字典﹐然後逐個的轉換成salt﹐再一一對照密碼檔案上面的salt﹐從而猜到原來的密碼。當然﹐他們不會笨到用手工來計算和比較啦﹐駭客們通常不是程式高手也會利用別人寫的程式來完成這個工作的。這個就是著名的“字典攻擊法”了。

破解密碼的方法之二

有些人要努力的工作﹐有些人則聰明的工作。一些駭客不一定要使用到非常高深的破解技能就可以輕易的獲得使用者密碼了。靠的是什麼﹖答案是﹕“靠騙﹗”。試想一下﹕在一些大型的機構裡﹐各部門之間並不是經常見面的。比如您在會計部門工作的﹐當電腦壞了﹐通常會先打個電話問Help Desk﹐如果能在電話裡面解決﹐您根本就不知道對方的模樣是怎樣的﹐而且下次或許又是另外一個人了﹔就算資訊組需要派人來修理﹐也未必是每次同一個人。

所以﹐假如有一天﹐當某人自稱來自資訊部門﹐用非常禮貌而又不顯唐突的語調在電話中跟您說﹕“因為公司的網路需要重新調整﹐所以戶口都需要重新設定﹐請求您把舊密碼報上來﹐好作安排”諸如此類﹐我想有一半人會老實作答﹐即使有所懷疑﹐也未必到處求證。就算您馬上提出質疑﹐對方大不了掛上電話而已﹐恐怕您也不會勞師動眾去追查電話來源吧﹖

不如掉過來吧﹕您是網路管理員。忽然接到電話﹐對方報稱為某某職員﹐使用某某賬號﹐昨天剛換了密碼﹐不過今天忘記了﹐問說可不可以重新幫他設定密碼﹖如果貴公司制度不嚴﹐或您工作隨便﹐搞不好﹐馬上大手一揮﹐霹靂吧啦一輪鍵盤敲擊﹐就把對方打發走了。您又幾何會想過對方是一個駭客呢﹖

又假如﹐某天您獲得自稱某ISP發來的email﹐恭喜您被選中獲得終身免費戶口﹐要求回復賬戶和密碼﹐好為您轉換戶口類型。我想﹐您這麼聰明是不會上當的啦~~~ 但您難保九十九個聰明人之外﹐還有一個大笨蛋會和盆托出哦。

你看﹖是不是很容易就獲得密碼了呢﹖雖然通常這樣獲得的密碼都不具備什麼權限﹐但既然通向網路之們已經打開了﹐再稍作努力點﹐獲得密碼檔案﹐然後使用字典攻擊﹐再獲得管理員密碼﹐只不過是時間與耐性的問題而已。

正確的使用密碼

要對付第一種破解方法﹐可以使用shadow password來限制使用者接觸到密碼檔案。同時﹐您最好別使用現成的詞語做密碼﹐任何連貫的字串都不可取。最好使用字母(伴隨一兩個大小寫)､數字､符號的混合﹐橫看豎看都看不出個意思就好。而且﹐也要定期更換密碼﹐更換時也不要重複以前的密碼。

您或許覺得這樣很難記住密碼吧﹖哈哈﹐這就對了﹕越難記住就越好﹗不過﹐您卻不要把密碼寫在便條上﹐然後貼在屏幕頂端﹐還大大個字的提示著﹕“密碼”﹗這樣和設不設密碼有什麼分別呢﹖如果密碼忘了﹐也不用怕難為情﹐多數網路管理員在接到申請表後都很樂意幫您進行修改﹐並且會通知和提示您重新設定好密碼的。假如您碰到個愛擺黑臉的傢伙﹐如果他是我管的話﹐直接向我投訴好了﹐我保證您以後也不會碰到他再給臉色您看。

至於對付第二種方法﹐只能要求您任何時候都保持高度警覺性﹐永遠不對任何人說出您的密碼﹐不管對方說得如何動聽和誘惑。要記住一點﹕就算是網路管理員﹐也無權獲得您的密碼。而且﹐永遠用腦子來記密碼﹐不要用筆寫出來。假如您是一個網路管理員﹐更加要小心保護好自己的密碼和經常轉換密碼﹔而且永遠不信任任何人的電話要求去更改密碼﹐一定要按照嚴格的程序進行。