口令破解與防范技術研究

尚旭哲　王潤田　孫穎　付瑜菲

摘? ?要：隨著計算機網絡的不斷發展和網絡功能的日益完善，信息資源共享也愈發普遍，直接導致了信息安全保密問題突出、公民隱私權受侵害的風險大幅提升等一系列問題。因此，及時發現和應用信息安全維護措施尤為重要，口令安全作為信息系統安全的重要環節之一，是保護信息不受泄露的首道屏障。基于此，文章以當前口令保護研究現狀為背景，通過對口令破解、口令加密以及口令安全的研究，總結歸納出行之有效的信息安全保護技術，力圖為筑牢網絡安全“防護網”建言獻策。

關鍵詞：口令;口令破解;口令加密;口令安全

中圖分類號： TP393.08? ? ? ? ? 文獻標識碼：A

Abstract： With the continuous development of computer network and the improvement of network function， the sharing of information resources is becoming more and more common， which directly leads to a series of problems， such as problems of information security and confidentiality， and the risk of infringement of citizens' privacy rights. Therefore， timely detection and application of information security measures are particularly important. Password security， as a part of information system security， is the first barrier to protect information from leakage. Based on this， based on the current research status of password protection， this paper summarizes the effective technology through the research of password cracking， password encryption and password security， and tries to make suggestions for building a network security "protective net ".

Key words： password; password cracking; password encryption; password security

1 引言

伴隨著互聯網時代的到來，計算機網絡在即時通信、商業溝通等領域得以廣泛應用，信息安全保密問題日益突出，公民在獲得極大便利的同時面臨著個人信息泄露的風險。如今的操作系統和常用軟件都不同程度地采用了加密技術，密碼的出現在一定程度上解決了信息的安全性問題，但是由于CPU運算速度與網絡傳輸速率的不斷加快，對于密碼強度和加密方法的要求也逐漸提高。有矛就有盾，有人破解，就會有人防范。對于用戶而言，最為有效的防范措施就是提高口令強度，即通過增加口令長度、采用非常規字符等方式實現口令的相對安全;對于系統而言，保證安全性就要安裝和管理補丁，正確配置系統參數，及時升級更新系統，防止因系統漏洞造成的口令泄露、刪除或修改。

在對口令安全進行分析論述之前，本文研究人員認為有必要對口令的內涵進行了解?？诹钍怯蓴底帧⒆帜?、特殊符號組成的僅為被授權人所知的字符串。值得區分的是密碼和口令兩組概念，二者之間區別相對模糊，相較于密碼而言，口令的長度較短、強度較低、更容易受到攻擊與破壞。其實在一般情況下，可以忽略口令和密碼的細微區別，視為同一概念處理。

2 口令破解方式探析

2.1 直接獲取

直接獲取即通過監聽、木馬等方法直接獲取用戶相關信息。有時獲取的密碼是經過哈希加密后的密文，這一部分將在本文的暴力破解中進一步闡釋。

（1）木馬入侵

特洛伊木馬程序一般可以主動修改系統中的Telnet和login程序，以便將用戶的賬號和口令記錄到一個文件中，然后將這個文件發送給黑客。由于木馬在注入遠程客戶機時成為了計算機內部的合法程序，往往不易被管理者發覺。

（2）窺探監聽

黑客利用與被攻擊系統接近的機會，安裝嗅探器或者對這些信息進行監聽和竊取，從而獲取賬戶和口令。黑客所使用的嗅探器通常只收取而不發送數據包，所以在檢測過程中不易被管理員發現，對信息安全具有一定的威脅性。

（3）后門潛入

后門是計算機系統設計者預先設計的一種可以繞過系統已有安全設置獲取訪問權限的系統登錄方法，以方便設計者在開發期間對應用程序和操作系統的調試和修改。通常在程序設計開發完成后，大部分后門會被刪除，不過仍然存在少數后門遺留情況。這些后門具有很好的隱蔽性，為熟悉系統的人員提供了越過對方安全設置潛入系統進行信息竊取和破壞的方法。

（4）社會工程學

社會工程學在信息安全領域被譽為“一種讓他人遵從自己意愿的科學或藝術”。當黑客將社會工程學應用于信息獲取時，無須入侵目標系統即可實現。例如，某網站因系統漏洞，泄露了大量用戶信息，黑客便可以通過這些信息得出用戶在其他網站上的賬號及密碼，從而獲取種種權限。

再如近些年興起的電信詐騙案件，嫌疑人通過撥打詐騙電話、發送詐騙短信、構造釣魚網站等一系列手段，充分利用被害人貪婪、恐懼等心理因素，套取其銀行賬戶密碼或脅迫其轉賬，這也是一種典型的社會工程學攻擊。

2.2 暴力破解

（1）字典窮舉法

當直接獲取口令難以奏效時，黑客往往會利用字典窮舉法實現系統入侵。即首先采用“Finger遠端主機名”找出主機上的用戶賬號，然后根據用戶的姓名、生日等信息生成一個字典，并從字典中選取一串字符作為口令輸入遠端主機，申請登陸系統。若口令正確，則進入系統;反之，程序將按照字典順序進行嘗試，直至發現正確的口令或者字典中所有字符串被嘗試完畢。隨著計算機CPU處理能力的增強，字典攻擊成為最“簡單便捷”的口令破解方法。如表1所示，針對不同組合數字符集，不同系統完成“攻擊”所需時間不同且差異較大。

（2）哈希碰撞

由于哈希計算無法像函數那樣實現輸入與輸出的一一對應，這就可能導致原信息經過哈希計算后得到同一個“代號”，這種情況被稱為哈希碰撞。以MD5為例，一個MD5值由32個16進制數組成，也就是說所有的MD5值最多可以不重復地表示1632段不同的信息。假設現在有1632+1段互不相同的信息，根據鴿巢原理，這些信息中至少有一對信息的MD5值相同，即出現了MD5值的碰撞。

哈希碰撞在口令破解領域具有重要意義。如果黑客掌握了用戶口令的哈希值，那么只需找到與其對應的哈希等價明文即可當作口令使用。并且如果服務端程序出現重大漏洞，還可能會出現哈希偽碰撞的情況。例如，在使用Php腳本的Apache服務器中，如果哈希值的比對采用的是雙等號比較而非三等號比較，且比對的兩邊都是以“0e”開頭的不同哈希值時，這兩個哈希值會被當做數字0的若干次方來處理，最終的結果是二者都為0，比對結果相同。任取一段信息，它的哈希值以“0e”開頭的概率高達1/256，在這種情況下，口令破解的效率被提高了1630倍。

（3）彩虹表破解

現階段應用體系中，口令的鑒別通常是通過在服務端將用戶發送的口令進行哈希加密后與數據庫中的哈希值比對來進行的。因為哈希函數是單向函數，即便黑客獲取了服務器數據庫中的數據，也無法根據哈希值反推得到口令明文。破解哈希值的一種常用手段就是彩虹表破解。如圖1所示，彩虹表破解是一種典型的以空間換時間的破解方法，它將眾多哈希值及其明文提前計算并進行存儲，需要時根據哈希值查找明文即可實現破解。

雖然彩虹表有著驚人的破解效率，但是安全人員仍然有辦法防御彩虹表。最有效的方法就是“加鹽”，即在密碼的特定位置插入特定的字符串，這個特定字符串就是“鹽”?！凹欲}”后的密碼經過哈希加密得到的哈希串與“加鹽”前的哈希串完全不同，例如：“加鹽”前Hash（“hello”）=5D41402ABC4B2A76B9719D911017C592，“加鹽”后Hash（“hello”+“QxLUF1bglAdeQX”）=61819A2E9B721831243EBA1AEABA8486。黑客利用彩虹表得到的密碼也并非真正的密碼。即使黑客知道了“鹽”的內容、“加鹽”位置，還需要對散列鏈進行修改，彩虹表也需要重新生成。因此，“加鹽”能大大增加利用彩虹表進行口令破解的難度。

（4）分布式破解

無論是在登錄界面多次嘗試進行暴力破解，或是對哈希值進行碰撞，都需要進行大量的計算與操作，此時就可以利用僵尸網絡進行分布式破解來提高效率。僵尸網絡是指采用一種或多種傳播手段，將大量主機感染僵尸程序，從而使攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。利用僵尸網絡進行分布式破解，就是增加用于破解的設備數量，給每個設備分配適當的破解范圍，從而提高破解效率。同時由于被感染主機的網絡地址各不相同，在進行在線破解時，數據量巨大且無序，防御方難以對攻擊流量進行有效的監控和阻擋。

3 口令安全問題研究

3.1 口令加密技術研究

（1）口令鑒別機制

鑒別是任何加密方案的第一步，可以用來分辨用戶的真實身份，防止攻擊者假冒合法用戶獲取訪問權限。用戶鑒別的方法有很多，一般分為標準的身份驗證協議和可擴展的身份認證協議。其中，最傳統的就是通過用戶名和口令進行鑒別。

最簡單的口令鑒別機制即明文口令鑒別。由于口令在存儲和傳輸過程中保持明文形式，一旦用戶數據庫被非法入侵或者用戶與服務器之間的通信鏈路被監控，用戶信息便會被竊取。為解決這一問題，實際應用中口令鑒別機制在鑒別用戶時，是在用戶計算機上通過某種算法對輸入的口令進行加密，得到口令的推導形式。計算機將這個口令推導形式發送到服務器中，在用戶數據庫中進行驗證比較?？诹钔茖问脚c消息摘要非常相似，所以也可以使用口令的消息摘要技術。

值得思考的是，這種方法并不能避免攻擊者獲得登錄權限。因為攻擊者只要在用戶名及口令的消息摘要傳送過程中進行截獲，隔段時間再向服務器發出，即可通過身份鑒別，成功登錄賬號，這就是所謂的重放攻擊。為有效防范此類重放攻擊，系統可采用一次口令技術，即通過非常規字符串口令以及時間戳驗證機制實現口令鑒別機制的相對安全。如圖2所示，基于RSA公鑰密碼體制的一次一密口令驗證模型是一種典型的一次口令技術。

（2）口令加密傳輸

用戶計算機具有加密功能，可以有效解決明文口令的傳輸問題。事實上，這種功能還可以應用于對用戶口令的消息摘要加密隨機數。這對于客戶/服務器程序是可以完成的，但是對于Internet應用程序，客戶機是沒有任何加密功能的Web瀏覽器，因此這種加密功能受到限制。

鑒于此，用戶需要在客戶機和服務器之間利用安全套接層協議（SSL）之類的技術進行連接，客戶機需要驗證服務器的數字證書以鑒別服務器，然后利用SSL加密客戶機與服務器之間的所有通信。這時口令不需要任何應用層的保護機制，有效避免了加密功能受限的影響。其工作過程為：（1）用戶計算機用SSL對口令進行加密，并將加密后的口令同用戶名一同發送給服務器，請求登陸;（2）服務器的用戶鑒別程序對用戶名和已經加密的口令進行鑒別;（3）服務器將鑒別結果反饋給用戶計算機。

3.2 加強口令管理，防止口令猜測

口令是信息系統鑒別用戶身份合法性的重要憑證，而且口令的安全級別可以間接地決定系統的安全級別。因此，口令管理尤為重要。口令管理的內容主要包括口令的選取、保存、保密、定期檢查和更改周期等方面。具體的口令管理策略為：（1）設定最小口令長度;（2）設置口令最長使用期限，一般不得超過42天;（3）限制用戶登陸失敗次數（建議為3～5次）。如果超過次數，系統將自動鎖定賬號并禁止在一定期限內登陸，或者需要管理員的認證才可以再次登陸賬號;（4）目標主機的管理員可以設置一些賬號誘騙黑客攻擊，以發現并查明黑客身份。

除加強口令管理外，使用強口令防止口令猜測也可以有效避免攻擊。強口令具有五個特點：（1）從大寫字母、小寫字母、數字、符號四類字符中任意選取三種以上組合形成口令，且避免連續;（2）至少包含8個字符;（3）定期修改;（4）明顯區別于以往密碼且避免使用字典單詞;（5）使用KeePass等軟件幫助管理。

3.3 口令安全研究進展

（1）口令破解技術發展趨勢

口令只是防范攻擊者入侵的第一道防線，防止入侵者獲取口令，可以有效減少其攻擊系統的可能性。但是，獲取口令并不一定需要登錄系統，在不登陸系統的情況下，攻擊者仍然可以破解口令，進行系統攻擊。

目前，口令安全所面臨的威脅大致可以分為暴力破解、漏洞攻擊和社會工程學攻擊三個方向。隨著網絡安全技術的規范化和體系化發展，用戶口令的強度與漏洞攻擊的成本越來越高，實現也越來越困難。于是，諸如電信詐騙、釣魚攻擊以及誘餌計劃等社會工程學攻擊手段逐漸成為口令破解的主流。由于社會工程學攻擊往往利用的是人類思維或性格上的短板，因而無法像程序邏輯漏洞那樣進行修補。此外，攻擊者不需要掌握太多的技術基礎。低成本、多手段、高收益的特性使得社會工程學攻擊成為未來很長一段時間內口令安全所面臨的主要風險。

（2）口令安全防御演變進程

傳統理論認為，所有的口令都是可以破解的。根據破解的難易程度，可以劃分密碼算法的安全等級。就現階段的研究而言，兩種情況的用戶口令相對安全，即被加密數據價值小于破譯算法的代價或者破譯密碼所需時間大于加密數據的有效期。

根據口令的不同特征，可將其分為用戶所知道的、用戶所持有的以及用戶所特有的三種。用戶所知道的口令是指字符串口令;用戶所持有的口令是指類似于U盾等實物令牌;而用戶所特有的是指指紋、虹膜等生物口令。由于方便快捷這一特性，字符串口令為絕大多數信息系統所普遍使用。同時針對該種口令的攻擊方式發展較為完備。目前，只能通過加強口令管理、提升口令強度的方式實現相對安全，但無法從根本上解決問題。于是，在未來一段時間內，越來越多的高安全要求信息系統會采用數字證書、硬件令牌以及生物特征等口令形式。但是僅僅依賴于單一因子，系統無法徹底抵御社會工程學攻擊，將會再次面臨字符串口令所經歷的類似問題。

因此，在對口令形式不斷創新的基礎上，系統需要嘗試使用（雙）多因素身份驗證，使得攻擊者僅僅通過口令猜測或口令破解無法獲取相關權限。作為（雙）多因子的一部分，諸如心跳、步態、腦電波等高級身份驗證方法也將成為口令安全防御的發展方向。此外，人機檢測、新型云WAF以及分布式集群防御等技術也需要進一步研究進而實現更深層次、更加智能的安全防護。

4 結束語

本文從口令破解、口令加密以及口令安全三個方面介紹了當下口令保護研究現狀。從論證中不難看出，伴隨著網絡技術的不斷進步，加密系統的性能以及口令破解技術都有了充分的發展?？诹畎踩潜Ｗo信息系統安全的第一道屏障，做好口令的保護措施也是信息安全維護的關鍵所在。無論是口令加密還是口令管理，其發展都將邁入一個新的臺階。正如前文所說，沒有任何口令是絕對安全的，也沒有任何系統是無懈可擊的，網絡攻擊者和防御者之間的博弈是信息安全領域的永恒話題。這不僅需要立法者從規范層面予以設定，亦需要全民信息安全意識的提升，從而實現網絡空間的相對安全和公民個人隱私權的有效保障。

參考文獻

[1] 胡志遠.口令破解與機密技術研究[M].北京：機械工業出版社，2003.07（黑客防線）.

[2] William，Stallings.密碼編碼學與網絡安全—原理與實踐（第三版）[M]. 劉玉珍譯. 北京：電子工業出版社，2004.

[3] 魏為民，袁仲雄.網絡攻擊與防御技術的研究與實踐[J].信息網絡安全，2012（12）：53-56.

[4] 高危險僵尸網絡攻擊模式全解析[J].計算機與網絡， 2010，36（19）：42.

[5] 王偉兵，文伯聰.基于彩虹表技術的分布式密碼破解研究[J].中國人民公安大學學報（自然科學版），2017，23（01）：79-84.

[6] 何文海，信佳佳.網絡信息安全中存在的問題及數據加密技術研究[J].網絡空間安全，2019，10（01）：24-26.

作者簡介：

尚旭哲（1999-），男，漢族，山東濟寧人，中國人民公安大學，本科;主要研究方向和關注領域：公安學、信息安全。

王潤田（1999-），男，漢族，山東煙臺人，中國人民公安大學，本科;主要研究方向和關注領域：公安技術、網絡安全。

孫穎（1999-），女，漢族，江蘇蘇州人，中國人民公安大學，本科;主要研究方向和關注領域：公安學。

付瑜菲（1999-），女，漢族，北京人，中國人民公安大學，本科;主要研究方向和關注領域：公安學、密碼學。

（本文為“2020年429首都網絡安全日”活動征文）