安全密碼的實際效果有多大
長期以來,我并不支持商業用戶采用復雜格式的登陸密碼。這主要牽扯到幾個方面原因,并不僅僅是因為用戶喜歡將復雜格式的密碼寫下來,并放在讓所有人都可以方便看到的地方。這種舉動讓所謂的安全密碼徹底喪失了應該擁有的作用。
現在一個新理由也許會讓我們對這個問題進行重新考慮......
專家聲稱,一種可以感染公司局域網的復雜計算機蠕蟲病毒本周席卷了整個互聯網,超過十萬臺計算機受到了影響。被感染的計算機遍布美國、歐洲和亞洲各地。專家們發現,在微軟Windows操作系統環境下發作時,Downadup蠕蟲病毒會掃描公司局域網并試圖對密碼進行猜測,以便登陸公司網絡。如果猜測到正確的密碼,該蠕蟲就可以通過這臺計算機感染網絡服務器。
因此,專家呼吁所有的計算機用戶安裝微軟新發布的安全補丁,并使用更長更復雜的密碼,以防止被蠕蟲病毒破譯。
來源:2009年1月18日發表在《網絡安全幫助》上的《采用安全補丁和安全密碼防范來自Downadup蠕蟲病毒的攻擊》一文
Downadup蠕蟲病毒(又名Conficker)利用的是在十月公布的Windows系統漏洞(MS08-067),來自賽門鐵克公司的觀點認為它屬于低風險級別的病毒。而根據來自F-Secure的分析:
該蠕蟲病毒感染計算機后,會利用NetServerEnum函數對網絡進行掃描,并且利用下面方法嘗試登陸所有被發現的聯網計算機:
1. 使用用戶被感染帳戶現有的數字證書;但如果該帳戶在目標機器中沒有系統管理員權限,這個操作將不會成功。
2. 利用NetUserEnum函數提供的應用程序編程接口獲取目標計算機中的用戶列表,接著使用現有用戶名和以下密碼(具體內容參見F-Secure公司網站上的清單)嘗試登陸到目標計算機上。
受到Downadup蠕蟲病毒控制的機器似乎不會強迫用戶安裝偽裝成為防病毒軟件的惡意工具。但受到感染的機器(保守估計現在數量應該在50萬到100萬臺之間)也被強行加入了垃圾郵件的發送中,情況也許還會變得更糟。
對于公司用戶來說,防范這種攻擊,可以從系統和設置兩個方面同時下手。下面就提供了幾種方法,可以保護公司局域網避免受到類似Downadup之類蠕蟲病毒的攻擊。
1. 補丁、補丁、還是補丁。盡管大多數公司在安裝補丁前都會進行測試,但這需要多長時間?或者說,正常情況下,網絡管理員安裝微軟發布MS08-67漏洞的補丁程序需要什么樣的周期?這時間,有效的補丁管理程序能夠在關鍵安全補丁發布的時間進行快速反映。為了保證合理的安全水平,并不是需要安裝所有的補丁。你可以閱讀《群體免疫和安全補丁:多少補丁才意味著真正的安全?》一文。不要因為忽視補丁導致系統出現問題。
2. 為了防止來自內部或者外部的黑客獲得系統控制權,應該采用密碼保護的措施。這包括了:
· 在用戶出現三到五次密碼錯誤的登陸操作后鎖定帳戶
· 以九十天為周期對密碼進行強制更新
· 幫助用戶了解怎樣才能創建安全的密碼,并提供工具對密碼效果進行測試。
3. 限制網絡并控制流量。對系統數量進行限制,這樣在系統中出現受到感染的跡象時,可以進行控制,不會出現很快蔓延到整個網絡的情況。
4. 對日志進行管理,以快速發現異常行為。
5. 在周邊和電子郵件服務器上運行反病毒保護工具進行管理和監控,以保證桌面系統和電子郵件的安全。
6. 擠壓攻擊進行重點監測。
7. 針對異常事件的發生過程進行記錄并進行處理練習
盡管可能還有其它的一些控制方法可供選擇,但上面提到的這些應該已經可以很有效地保護公司局域網避免受到類似Downadup之類蠕蟲病毒的攻擊。我相信,作為多層次安全控制模式里的一個重要組成部分,安全密碼在任何情況下都具有不可替代的作用。
【編輯推薦】
