1.了解windows口令破解原理
2.對資訊保安有直觀感性認識
3.能夠運用工具實現口令破解
1.一人
1.windows
1.lc5
2.superdic
1.使用工具實現口令破解
2.口令破解主要有兩種方法:字典破解和暴力破解
3.字典破解是指通過破解者對管理員的了解,猜測其可能使用某些資訊作為密碼,例如其姓名、生日、**號碼等,同時結合對密碼長度的猜測,利用工具來生成密碼破解字典。如果相關資訊設定準確,字典破解的成功率很高,並且其速度快,因此字典破解是密碼破解的首選。
4.而暴力破解是指對密碼可能使用的字元和長度進行設定後(例如限定為所有英文本母和所有數字,長度不超過8),對所有可能的密碼組合逐個實驗。隨著可能字元和可能長度的增加,存在的密碼組合數量也會變得非常龐大,因此暴力破解往往需要花費很長的時間,尤其是在密碼長度大於10,並且包含各種字元(英文本母、數字和標點符號)的情況下。
答:基於字典攻擊和窮舉攻擊的原理,對所有可能的密碼組合逐個進行嘗試。
答:存放在這裡的(c:\windows\system32\config\sam)sam檔案裡;
答: lan manager challenge/response 驗證機制,簡稱lm,由於它非常簡單以至很容易就被破解,微軟提出了windowsnt挑戰/響應驗證機制,稱之為ntlm。
lm-hash加密過程
第一步是將明文口令轉換為其大寫形式。
第二步是將字串大寫後轉換為16進製制字串。
第三步是密碼不足14位元組要求用0補全。
第四步是將上述編碼分成2組7位元組(56bits=14*4)的資料。
第五步是將每一組7位元組的十六進製制轉換為二進位制,每7bit一組末尾加0,再轉換成十六進製制組成得到2組8位元組的編碼。
第六步將以上步驟得到的兩組8位元組編碼,分別作為des加密key為魔術字串「kgs!@#$% 」進行加密。
第七步將兩組des加密後的編碼拼接;
ntlm-hash加密過程
第一步將明文口令轉換為16進製制。
第二步再asicc碼轉換成unicode字串,對所獲取的unicode字串進行標準md4單向雜湊加密,md4固定產生128-bit的雜湊值,產生的雜湊值就是最後的ntlm hash。
答:擴大口令的字元空間,設定長口令,選用無規律的字串,定期更換。
答:設定賬戶密碼
1.開啟桌面圖示「我的電腦」,會出現乙個對話方塊,選擇「控制面板」選項。
2、然後出現新的介面,點選下方的「使用者賬戶」。
3、再選擇一下想要更改密碼的賬戶,這裡我選擇的是:administrator(計算機管理員)。
4、之後選擇對話方塊上面的「更改我的密碼」來修改一下開機密碼。
5、最後,在方框中輸入當前使用的密碼和新密碼(並確認一下),點選介面右下方的「更改密碼」即可。
密碼策略
是用以侷限所設定的密碼的一種策略。包括最小長度、使用期限、密碼歷史以及還原加密。對密碼進行侷限無非是為了強制使用者設定乙個更加安全的密碼。人們為了省事,密碼設定的往往簡單,這對安全不利,在公司裡可以通過密碼策略讓電腦使用者必須設定乙個複雜密碼。
答:彩虹表是乙個用於加密雜湊函式逆運算的預先計算好的表, 為破解密碼的雜湊值(或稱雜湊值、微縮圖、摘要、指紋、雜湊密文)而準備。一般主流的彩虹表都在100g以上。 這樣的表常常用於恢復由有限集字元組成的固定長度的純文字密碼。這是空間/時間替換的典型實踐, 比每一次嘗試都計算雜湊的暴力破解處理時間少而儲存空間多,但卻比簡單的對每條輸入雜湊翻查表的破解方式儲存空間少而處理時間多。使用加salt的kdf函式可以使這種攻擊難以實現。
這是第一次自己嘗試設定密碼破譯密碼的過程,之前學習了很多理論知識,但是沒有經過實踐,也沒有很深的感悟,經過這次試驗讓我更加了解到了密碼學中加密解密是怎樣乙個過程,對於簡單密碼的破譯速度很快也讓我認識到了密碼對於保護個人資訊保安的重要性,增加了我學習資訊保安的積極性。
資訊保安技術
最近參加了學校的網路資訊保安大賽,一不小心代表學校參加全省的比賽,以前大一的時候的那份激情都被歲月這把無情的刻刀給磨滅了,現在想拾也沒有力氣了。怎麼辦捏?只有自己重新再學一遍,畢竟這樣的比賽是代表學校去參加,將來找工作也是比較方便的,起碼有了網路實戰的經驗。網路資訊保安決賽主要是搞網路攻防站,需要用...
資訊保安第十二講 資訊保安管理技術作業
什麼是資訊保安規劃?資訊保安規劃也稱為資訊保安計畫,它用於在較高的層次上確定乙個組織設計資訊保安的活動,主要內容包括安全策略 安全需求 計畫採用的安全措施 安全責任和規劃執行時間表等內容。什麼是資訊保安風險評估?對資訊保安威脅進行分析和 評估這些威脅對資訊資產造成的影響。資產識別與估價 威脅與脆弱性...
資訊保安第十一講 資訊保安測評技術作業
什麼是資訊保安測評 資訊保安測評是指對資訊保安模組 產品或資訊系統的安全性等進行驗證 測試 評價和定級,以規範他們的安全特定。什麼是資訊保安驗證技術?基於一定的分析手段或經驗,驗證資訊保安產品或資訊系統中不存在相應的安全隱患。資訊系統中的控制流 資訊流和邊界值等是需要重點分析的物件。什麼是資訊保安測...