《信息安全实验报告3-1》由会员分享,可在线阅读,更多相关《信息安全实验报告3-1(2页珍藏版)》请在金锄头文库上搜索。
1、1课程实验报告课程名称 信息安全 班级 1204072 实验日期 2015/5/15姓名 张雨 学号 120407235 实验成绩实验名称 账号口令破解实验目的及要求(给出本次实验所涉及并要求掌握的知识点)通过密码破解工具 L0phtCrack5(简称 LC5)的使用,了解账号口令的安全性,掌握安全口令的设置原则,保护账号口令的安全性。实验环境(列出本次实验所使用的平台和相关软件)局域网内一台计算机安装 L0phtCrack5 软件实验内容及实验步骤一、 使用 L0phtCrack5 破解密码 (1)在 Windows 操作系统中,用户帐号的安全管理使用了安全帐号管理器 SAM(Securit
2、y Account Manager)的机制,用户和口令经过加密 Hash 变换后一 Hash 列表形式存放在 SAM 文件中。 L0phtCrack 通过破解这个 SAM 文件来获取用户名和密码。它的工作方式是通过尝试每个可能的字母数字组合试图破解密码。 (2)单击文件菜单中的“LC5”向导,设定破解任务,对本地机器进行密码破解。1 在主机内建立若干用户名,将其密码分别设置为空密码、纯数字组合密码、特定单词字母密码、任意字母组合密码、字母数字混合密码以及特殊符号字母数字混合密码。 2 通过 L0phtCrack5 文件菜单中的 LCS 向导,设定从本地机器导入加密口令,分别对本地机器进行“快速
3、口令破解”和“普通口令破解” ,观察破解结果(要等一段时间直到破解完全结束) 。二、 掌握安全的密码设置策略暴力破解理论上可以破解任何口令。但如果口令过于复杂,暴力破解需要的时间会很长,在这段时间内,增加了用户用户发现入侵和破解行为的机会,以采取某种措施来阻止破解,所以口令越复杂越好。一般设置口令要遵循以下原则: (1) 口令长度不小于 8 个字符;2(2) 包含有大写和小写的英文字母、数字和特殊符号的组合;(3)不包含姓名、用户名、单词、日期以及这几项的组合;实验内容及实验步骤(4)定期修改口令,并且对新口令做较大的改动。 学会采取以下一些步骤来消除口令漏洞,预防弱口令攻击。 第一步:删除所
4、有没有口令的账号或为没有口令的用户加上一个口令。特别是系统内置或是缺省账号。 第二步:制定管理制度,规范增加账号的操作,及时移走不再使用的账号。经常检查确认有没有增加新的账号,不使用的账号是否已被删除。当职员或合作人离开公司时,或当账号不再需要时,应有严格的制度保证删除这些账号。 第三步:加强所有的弱口令,并且设置为不易猜测的口令,为了保证口令的强壮性,我们可以利用 Unix 系统保证口令强壮性的功能或是采用一些专门的程序来拒绝任何不符合你安全策略的口令。这样就保证了修改的口令长度和组成使得破解非常困难。如在口令中加入一些特殊符号使口令更难破解。 第四步:使用口令控制程序,以保证口令经常更改,而且旧口令不可重用。 第五步:对所有的账号运行口令破解工具,以寻找弱口令或没有口令的账号。3总结账号设置密码,可以增加安全性,但是密码如果设置的过于简单,很容易被破解,账号丢失的风险就增加,个人详细信息泄露,将会对我们造成一定的损失。所以在设置密码的时候,注意一定的严谨性,防止信息泄露,账号丢失。
