Windows口令管理的4個誤區(轉)

Windows口令管理的4個誤區(轉)[@more@]

　　回到我們所知道的網際網路的黑暗時代--那時我們還沒有這樣多的惡意軟體威脅和網路應用程式的安全漏洞，強大的口令就是安全解決方案。這種情況在Windows的應用中更是如此。後來，人們發現捕捉和破解Windows NT中的LANMan口令是多麼容易。甚至今天，實際上每一個人(IT內部人員和外部人員)似乎對於需要採取什麼措施來建立和執行安全的口令都有自己的意見。人們一致的觀點是，如果我們至少使用7個至8個大寫字母、小寫字母、數字和特殊符號組成的口令，我們的口令就是不可破解的。

　　

　　事實並非如此

　　

　　我每一年都要測試相當多的單獨的Windows工作站、伺服器和域名，以檢查容易破解的口令。網路管理員偶爾告訴我說，他們知道每一個人都有一個薄弱的口令，但是大多數人都不知道這個問題是多麼普遍。根據我看到的情況，大多數符合“一般可以接受的”要求的口令使用基本的試錯法都是可以猜出來。這種微不足道的方法就可以讓壞蛋得到豐厚的回報，而且他們被逮住的機會很小。

　　

　　有一些合法的口令向網路管理員與其進行鬥爭的薄弱口令提出了挑戰。許多薄弱的口令都給大多數機構帶來了安全風險，讓機構措手不久。下面是一些口令管理方面常見的錯誤，以及根據這些錯誤提出的增強Windows安全的一兩個想法。

　　

　　1.向所有的使用者分配口令有助於保護他們工作站的安全

　　

　　這是一個大錯誤。責任和義務必須置於使用者的控制之下。否則，什麼能夠激勵他們做得更好呢?注意，我並沒有說口令政策的執行要置於使用者的管理之下。這是個不同的問題。安全決策永遠不要置於使用者的手中。相反，要透過書面的政策、組策略物件或者其它口令管理系統以及正在實施的審計來執行強大的口令。當惡意的或者以前的網路管理員濫用無辜的使用者的賬戶的時候會發生什麼事情呢?事後的審計很難解決這個問題。

　　

　　2.嚴密的物理安全措施能夠使系統更安全地防禦嗅探器和口令破解器

　　

　　當內部Citrix NFuse Web網站介面、網路應用程式和其它系統與Windows域名賬號聯絡在一起時會發生什麼事情呢?原來只是內部問題的口令問題現在對全世界開放了。這是一個影響越來越多的系統的一個大問題。

　　

　　3.高階管理層不能迫使使用者記住複雜的口令，因此只能接受一切。

　　

　　我發現的情況是高階管理人員或者企業的高階官員不真正瞭解這個問題的嚴重性。他們認為所有的使用者都是可以信賴的，沒有人能夠共享他們的口令，而且當標準使用者賬號被破解之後也沒有很多東西會丟失。

　　

　　下面是暴露這個問題的竅門兒:簡單地以基本的使用者許可權登入，看一下你在共享的網路伺服器和工作站中能夠看到什麼。進行基本的文字搜尋，查詢“SSN”、“信用卡”、“dob”以及允許使用者訪問的其它關鍵詞。查詢的結果將使許多不相信這種事情的人認識到確實存在安全問題，特別是結合上述安全漏洞進行搜尋就更是如此。

　　

　　4.要求使用者經常變換口令可保證Windows的安全。

　　

　　這又是一個錯誤的概念。如果我們記不住新的口令，特別是每隔30、60或者90天就更換多個口令的時候，人類的自然反應會是什麼樣呢?我們會把這些口令記在紙上。如果使用者被迫以安全的名義陷入這種不現實的迴圈之中，用紙記錄下這些口令是很難避免的。這裡的解決方案就是建立一個強大的而又很容易記住的口令。如果這些口令沒有被其他人共享或者沒有被破解，為什麼要頻繁更換呢?我總是建議人們使用強大的而又很容易記住的口令。

　　

　　只要我們不得不為計算需求使用口令，我認為口令短語是惟一的一個現實的解決方案。根據大寫、小寫、數字和特殊符號的思路，建立一個口令短語，這種短語很長不容易破解並且很容易記住。一旦你用簡單的詞彙進行解釋並且提供一個很好的口令例子，如“Man, I LOVE hard rock music!”(老兄，我喜歡搖滾樂!)，你的使用者和企業官員的眼睛就會為之一亮。這個口令實際上就可以保證安全。