- Văn bản
- Lịch sử
Passwords are extremely common beca
Passwords are extremely common because they are easy to understand and use. Unfortunately, passwords can often be guessed, accidentally exposed, sniffed (read by an eavesdropper), or illegally transferred from an authorized user to an unauthorized one, as we show next.
There are two common ways to guess a password. One way is for the intruder (either human or program) to know the user or to have information about the user. All too frequently, people use obvious information (such as the names of their cats or spouses) as their passwords. The other way is to use brute force, trying enumeration — or all possible combinations of valid password characters (letters, numbers, and punctuation on some systems) — until the password is found. Short passwords are especially vulnerable to this method. For example, a four-character password provides only 10,000 variations. On average, guessing 5,000 times would produce a correct hit. A program that could try a password every millisecond would take only about 5 seconds to guess a four-character password. Enumeration is less successful where systems allow longer passwords that include both uppercase and lowercase letters, along with numbers and all punctuation characters. Of course, users must take advantage of the large password space and must not, for example, use only lowercase letters.
In addition to being guessed, passwords can be exposed as a result of visual or electronic monitoring. An intruder can look over the shoulder of a user (shoulder surfing) when the user is logging in and can learn the password
easily by watching the keyboard. Alternatively, anyone with access to the network on which a computer resides can seamlessly add a network monitor, allowing him to sniff, or watch, all data being transferred on the network, including user IDs and passwords. Encrypting the data stream containing the password solves this problem. Even such a system could have passwords stolen, however. For example, if a file is used to contain the passwords, it could be copied for off-system analysis. Or consider a Trojan-horse program installed on the system that captures every keystroke before sending it on to the application.
Exposure is a particularly severe problem if the password is written down where it can be read or lost. Some systems force users to select hard-to- remember or long passwords, or to change their password frequently, which
may cause a user to record the password or to reuse it. As a result, such systems provide much less security than systems that allow users to select easy passwords!
The final type of password compromise, illegal transfer, is the result of
human nature. Most computer installations have a rule that forbids users to
share accounts. This rule is sometimes implemented for accounting reasons but
is often aimed at improving security. For instance, suppose one user ID is shared
by several users, and a security breach occurs from that user ID. It is impossible
to know who was using the ID at the time the break occurred or even whether
the user was an authorized one. With one user per user ID, any user can be
questioned directly about use of the account; in addition, the user might notice
something different about the account and detect the break-in. Sometimes,
users break account-sharing rules to help friends or to circumvent accounting,
and this behavior can result in a system’s being accessed by unauthorized users
— possibly harmful ones.
Passwords can be either generated by the system or selected by a user.
System-generated passwords may be difficult to remember, and thus users may
write them down. As mentioned, however, user-selected passwords are often
easy to guess (the user ’s name or favorite car, for example). Some systems will
check a proposed password for ease of guessing or cracking before accepting
it. Some systems also age passwords, forcing users to change their passwords at regular intervals (every three months, for instance). This method is not foolproof either, because users can easily toggle between two passwords. The solution, as implemented on some systems, is to record a password history for each user. For instance, the system could record the last N passwords and not allow their reuse.
Several variants on these simple password schemes can be used. For example, the password can be changed more frequently. At the extreme, the password is changed from session to session. A new password is selected (either by the system or by the user) at the end of each session, and that password must be used for the next session. In such a case, even if a password is used by an unauthorized person, that person can use it only once. When the legitimate user tries to use a now-invalid password at the next session, he discovers the security violation. Steps can then be taken to repair the breached security
There are two common ways to guess a password. One way is for the intruder (either human or program) to know the user or to have information about the user. All too frequently, people use obvious information (such as the names of their cats or spouses) as their passwords. The other way is to use brute force, trying enumeration — or all possible combinations of valid password characters (letters, numbers, and punctuation on some systems) — until the password is found. Short passwords are especially vulnerable to this method. For example, a four-character password provides only 10,000 variations. On average, guessing 5,000 times would produce a correct hit. A program that could try a password every millisecond would take only about 5 seconds to guess a four-character password. Enumeration is less successful where systems allow longer passwords that include both uppercase and lowercase letters, along with numbers and all punctuation characters. Of course, users must take advantage of the large password space and must not, for example, use only lowercase letters.
In addition to being guessed, passwords can be exposed as a result of visual or electronic monitoring. An intruder can look over the shoulder of a user (shoulder surfing) when the user is logging in and can learn the password
easily by watching the keyboard. Alternatively, anyone with access to the network on which a computer resides can seamlessly add a network monitor, allowing him to sniff, or watch, all data being transferred on the network, including user IDs and passwords. Encrypting the data stream containing the password solves this problem. Even such a system could have passwords stolen, however. For example, if a file is used to contain the passwords, it could be copied for off-system analysis. Or consider a Trojan-horse program installed on the system that captures every keystroke before sending it on to the application.
Exposure is a particularly severe problem if the password is written down where it can be read or lost. Some systems force users to select hard-to- remember or long passwords, or to change their password frequently, which
may cause a user to record the password or to reuse it. As a result, such systems provide much less security than systems that allow users to select easy passwords!
The final type of password compromise, illegal transfer, is the result of
human nature. Most computer installations have a rule that forbids users to
share accounts. This rule is sometimes implemented for accounting reasons but
is often aimed at improving security. For instance, suppose one user ID is shared
by several users, and a security breach occurs from that user ID. It is impossible
to know who was using the ID at the time the break occurred or even whether
the user was an authorized one. With one user per user ID, any user can be
questioned directly about use of the account; in addition, the user might notice
something different about the account and detect the break-in. Sometimes,
users break account-sharing rules to help friends or to circumvent accounting,
and this behavior can result in a system’s being accessed by unauthorized users
— possibly harmful ones.
Passwords can be either generated by the system or selected by a user.
System-generated passwords may be difficult to remember, and thus users may
write them down. As mentioned, however, user-selected passwords are often
easy to guess (the user ’s name or favorite car, for example). Some systems will
check a proposed password for ease of guessing or cracking before accepting
it. Some systems also age passwords, forcing users to change their passwords at regular intervals (every three months, for instance). This method is not foolproof either, because users can easily toggle between two passwords. The solution, as implemented on some systems, is to record a password history for each user. For instance, the system could record the last N passwords and not allow their reuse.
Several variants on these simple password schemes can be used. For example, the password can be changed more frequently. At the extreme, the password is changed from session to session. A new password is selected (either by the system or by the user) at the end of each session, and that password must be used for the next session. In such a case, even if a password is used by an unauthorized person, that person can use it only once. When the legitimate user tries to use a now-invalid password at the next session, he discovers the security violation. Steps can then be taken to repair the breached security
0/5000
Mật khẩu là rất phổ biến bởi vì họ là dễ hiểu và sử dụng. Thật không may, mật khẩu thường có thể đoán, vô tình tiếp xúc, sniffed (đọc bởi một eavesdropper), hoặc bất hợp pháp chuyển từ một người dùng được ủy quyền cho một trái phép, như chúng tôi hiển thị tiếp theo.
có hai cách phổ biến để đoán mật khẩu. Một cách là cho những kẻ xâm nhập (hoặc nhân hoặc chương trình) để biết người sử dụng hoặc để có thông tin về người sử dụng. Tất cả các quá thường xuyên, người sử dụng các thông tin rõ ràng (ví dụ như tên của mèo hoặc vợ chồng của họ) là mật khẩu của họ. Một cách khác là sử dụng bạo lực, cố gắng liệt kê — hoặc tất cả các tổ hợp các ký tự hợp lệ mật khẩu (chữ cái, số, và dấu chấm câu trên một số hệ thống) — cho đến khi mật khẩu được tìm thấy. Mật khẩu ngắn đặc biệt là dễ bị tổn thương để phương pháp này. Ví dụ, một mật khẩu bốn nhân vật cung cấp 10.000 chỉ biến thể. Trung bình, đoán thời 5.000 sẽ sản xuất một hit chính xác. Một chương trình có thể thử một mật khẩu mỗi millisecond sẽ có chỉ khoảng 5 giây để đoán mật khẩu bốn ký tự. Liệt kê là không thành công mà hệ thống cho phép nhiều thời gian mật khẩu bao gồm cả chữ hoa và chữ thường, cùng với số điện thoại và tất cả các ký tự chấm câu. Tất nhiên, người dùng phải tận dụng lợi thế của không gian lớn mật khẩu và không, ví dụ, sử dụng chỉ chữ.
ngoài được đoán, mật khẩu có thể được tiếp xúc như là kết quả thị giác hoặc điện tử theo dõi. Một kẻ xâm nhập có thể nhìn qua vai của người dùng (vai surfing) khi người dùng đăng nhập và có thể học hỏi mật khẩu
dễ dàng bằng cách xem bàn phím. Ngoài ra, bất cứ ai có quyền truy cập vào mạng mà một máy tính nằm hoàn toàn phù có thể thêm một màn hình mạng, cho phép anh ta để sniff, hoặc xem, tất cả dữ liệu được chuyển giao trên mạng, trong đó có ID người dùng và mật khẩu. Mật mã hóa các dòng dữ liệu có chứa mật khẩu giải quyết vấn đề này. Ngay cả như một hệ thống có thể có mật khẩu bị đánh cắp, Tuy nhiên. Ví dụ, nếu một gỡ được sử dụng để chứa các mật khẩu, nó có thể được sao cho phân tích ra khỏi hệ thống. Hoặc xem xét một chương trình Trojan horse được cài đặt trên hệ thống bắt mọi phím tắt trước khi gửi nó vào ứng dụng.
Tiếp xúc là một vấn đề đặc biệt nghiêm trọng nếu mật khẩu được viết xuống nơi nó có thể được đọc hoặc bị mất. Một số hệ thống bắt buộc người dùng chọn khó khăn-để - nhớ hoặc dài mật khẩu hoặc thay đổi mật khẩu của họ thường xuyên, mà
có thể gây ra một người sử dụng để ghi lại mật khẩu hoặc để tái sử dụng nó. Kết quả là, các hệ thống cung cấp an ninh ít hơn nhiều so với hệ thống cho phép người dùng chọn mật khẩu dễ dàng!
Ngoài, loại thỏa hiệp mật khẩu, chuyển giao bất hợp pháp, là kết quả của
bản chất con người. Hầu hết máy tính cài đặt có một quy tắc cấm người dùng
chia sẻ tài khoản. Quy tắc này đôi khi được thực hiện cho kế toán lý do nhưng
thường nhằm cải thiện an ninh. Ví dụ, giả sử một ID người dùng được chia sẻ
bởi nhiều người sử dụng, và một bảo mật vi phạm xảy ra từ đó ID người dùng. Nó là không thể
để biết những người đã sử dụng ID lúc đó trong giờ giải lao xảy ra hoặc thậm chí cho dù
người dùng là một thẩm quyền. Với một người sử dụng một ID người dùng, bất kỳ người dùng có thể
đặt câu hỏi trực tiếp về việc sử dụng của tài khoản; Ngoài ra, người dùng có thể nhận thấy
một cái gì đó khác nhau về tài khoản và phát hiện break-in. Đôi khi,
phá vỡ người dùng chia sẻ tài khoản các quy tắc để giúp bạn bè hoặc để phá vỡ kế toán,
và hành vi này có thể dẫn đến một hệ thống đang được truy cập bởi người sử dụng trái phép
-những người có thể có hại.
mật khẩu có thể được tạo ra bởi hệ thống hoặc được lựa chọn bởi một người dùng.
tạo ra hệ thống mật khẩu có thể là difficult để nhớ, và do đó người dùng có thể
viết chúng xuống. Như đã đề cập, Tuy nhiên, người sử dụng chọn mật khẩu thường
dễ dàng để đoán (của người sử dụng tên hoặc chiếc xe yêu thích, ví dụ). Một số hệ thống sẽ
kiểm tra mật khẩu được đề xuất để dễ đoán hoặc nứt trước khi chấp nhận
nó. Một số hệ thống cũng tuổi mật khẩu, buộc người dùng thay đổi mật khẩu của mình tại các khoảng thường xuyên (mỗi ba tháng, ví dụ). Phương pháp này không phải là cao độ hoặc là, bởi vì người dùng có thể dễ dàng chuyển đổi giữa hai mật khẩu. Các giải pháp, như thực hiện trên một số hệ thống, là để ghi lại một lịch sử mật khẩu cho mỗi người dùng. Ví dụ, Hệ thống có thể ghi lại mật khẩu N cuối và không cho phép tái sử dụng của.
một số biến thể trên các đề án đơn giản mật khẩu có thể được sử dụng. Ví dụ, mật khẩu có thể được thay đổi thường xuyên hơn. Ở cực, mật khẩu được thay đổi phiên phiên. Một mật khẩu mới được chọn (hoặc bằng hệ thống hoặc bởi người sử dụng) vào cuối mỗi phiên làm việc, và mật khẩu đó phải được sử dụng cho phiên tiếp theo. Trong trường hợp này, ngay cả khi mật khẩu được sử dụng bởi một người trái phép, người đó có thể sử dụng nó chỉ một lần. Khi người sử dụng hợp pháp cố gắng sử dụng một mật khẩu bây giờ-không hợp lệ tại phiên họp tiếp theo, ông phát hiện ra vi phạm an ninh. Bước sau đó có thể được thực hiện để sửa chữa bảo mật breached
có hai cách phổ biến để đoán mật khẩu. Một cách là cho những kẻ xâm nhập (hoặc nhân hoặc chương trình) để biết người sử dụng hoặc để có thông tin về người sử dụng. Tất cả các quá thường xuyên, người sử dụng các thông tin rõ ràng (ví dụ như tên của mèo hoặc vợ chồng của họ) là mật khẩu của họ. Một cách khác là sử dụng bạo lực, cố gắng liệt kê — hoặc tất cả các tổ hợp các ký tự hợp lệ mật khẩu (chữ cái, số, và dấu chấm câu trên một số hệ thống) — cho đến khi mật khẩu được tìm thấy. Mật khẩu ngắn đặc biệt là dễ bị tổn thương để phương pháp này. Ví dụ, một mật khẩu bốn nhân vật cung cấp 10.000 chỉ biến thể. Trung bình, đoán thời 5.000 sẽ sản xuất một hit chính xác. Một chương trình có thể thử một mật khẩu mỗi millisecond sẽ có chỉ khoảng 5 giây để đoán mật khẩu bốn ký tự. Liệt kê là không thành công mà hệ thống cho phép nhiều thời gian mật khẩu bao gồm cả chữ hoa và chữ thường, cùng với số điện thoại và tất cả các ký tự chấm câu. Tất nhiên, người dùng phải tận dụng lợi thế của không gian lớn mật khẩu và không, ví dụ, sử dụng chỉ chữ.
ngoài được đoán, mật khẩu có thể được tiếp xúc như là kết quả thị giác hoặc điện tử theo dõi. Một kẻ xâm nhập có thể nhìn qua vai của người dùng (vai surfing) khi người dùng đăng nhập và có thể học hỏi mật khẩu
dễ dàng bằng cách xem bàn phím. Ngoài ra, bất cứ ai có quyền truy cập vào mạng mà một máy tính nằm hoàn toàn phù có thể thêm một màn hình mạng, cho phép anh ta để sniff, hoặc xem, tất cả dữ liệu được chuyển giao trên mạng, trong đó có ID người dùng và mật khẩu. Mật mã hóa các dòng dữ liệu có chứa mật khẩu giải quyết vấn đề này. Ngay cả như một hệ thống có thể có mật khẩu bị đánh cắp, Tuy nhiên. Ví dụ, nếu một gỡ được sử dụng để chứa các mật khẩu, nó có thể được sao cho phân tích ra khỏi hệ thống. Hoặc xem xét một chương trình Trojan horse được cài đặt trên hệ thống bắt mọi phím tắt trước khi gửi nó vào ứng dụng.
Tiếp xúc là một vấn đề đặc biệt nghiêm trọng nếu mật khẩu được viết xuống nơi nó có thể được đọc hoặc bị mất. Một số hệ thống bắt buộc người dùng chọn khó khăn-để - nhớ hoặc dài mật khẩu hoặc thay đổi mật khẩu của họ thường xuyên, mà
có thể gây ra một người sử dụng để ghi lại mật khẩu hoặc để tái sử dụng nó. Kết quả là, các hệ thống cung cấp an ninh ít hơn nhiều so với hệ thống cho phép người dùng chọn mật khẩu dễ dàng!
Ngoài, loại thỏa hiệp mật khẩu, chuyển giao bất hợp pháp, là kết quả của
bản chất con người. Hầu hết máy tính cài đặt có một quy tắc cấm người dùng
chia sẻ tài khoản. Quy tắc này đôi khi được thực hiện cho kế toán lý do nhưng
thường nhằm cải thiện an ninh. Ví dụ, giả sử một ID người dùng được chia sẻ
bởi nhiều người sử dụng, và một bảo mật vi phạm xảy ra từ đó ID người dùng. Nó là không thể
để biết những người đã sử dụng ID lúc đó trong giờ giải lao xảy ra hoặc thậm chí cho dù
người dùng là một thẩm quyền. Với một người sử dụng một ID người dùng, bất kỳ người dùng có thể
đặt câu hỏi trực tiếp về việc sử dụng của tài khoản; Ngoài ra, người dùng có thể nhận thấy
một cái gì đó khác nhau về tài khoản và phát hiện break-in. Đôi khi,
phá vỡ người dùng chia sẻ tài khoản các quy tắc để giúp bạn bè hoặc để phá vỡ kế toán,
và hành vi này có thể dẫn đến một hệ thống đang được truy cập bởi người sử dụng trái phép
-những người có thể có hại.
mật khẩu có thể được tạo ra bởi hệ thống hoặc được lựa chọn bởi một người dùng.
tạo ra hệ thống mật khẩu có thể là difficult để nhớ, và do đó người dùng có thể
viết chúng xuống. Như đã đề cập, Tuy nhiên, người sử dụng chọn mật khẩu thường
dễ dàng để đoán (của người sử dụng tên hoặc chiếc xe yêu thích, ví dụ). Một số hệ thống sẽ
kiểm tra mật khẩu được đề xuất để dễ đoán hoặc nứt trước khi chấp nhận
nó. Một số hệ thống cũng tuổi mật khẩu, buộc người dùng thay đổi mật khẩu của mình tại các khoảng thường xuyên (mỗi ba tháng, ví dụ). Phương pháp này không phải là cao độ hoặc là, bởi vì người dùng có thể dễ dàng chuyển đổi giữa hai mật khẩu. Các giải pháp, như thực hiện trên một số hệ thống, là để ghi lại một lịch sử mật khẩu cho mỗi người dùng. Ví dụ, Hệ thống có thể ghi lại mật khẩu N cuối và không cho phép tái sử dụng của.
một số biến thể trên các đề án đơn giản mật khẩu có thể được sử dụng. Ví dụ, mật khẩu có thể được thay đổi thường xuyên hơn. Ở cực, mật khẩu được thay đổi phiên phiên. Một mật khẩu mới được chọn (hoặc bằng hệ thống hoặc bởi người sử dụng) vào cuối mỗi phiên làm việc, và mật khẩu đó phải được sử dụng cho phiên tiếp theo. Trong trường hợp này, ngay cả khi mật khẩu được sử dụng bởi một người trái phép, người đó có thể sử dụng nó chỉ một lần. Khi người sử dụng hợp pháp cố gắng sử dụng một mật khẩu bây giờ-không hợp lệ tại phiên họp tiếp theo, ông phát hiện ra vi phạm an ninh. Bước sau đó có thể được thực hiện để sửa chữa bảo mật breached
đang được dịch, vui lòng đợi..
Mật khẩu rất phổ biến vì chúng rất dễ hiểu và sử dụng. Thật không may, mật khẩu thường có thể được đoán, vô tình tiếp xúc, hít (đọc bởi một kẻ nghe trộm), hoặc chuyển giao bất hợp pháp từ một người dùng được ủy quyền một một trái phép, như chúng ta hiển thị bên cạnh.
Có hai cách phổ biến để đoán mật khẩu. Một cách là cho những kẻ xâm nhập (hoặc con người hay chương trình) cho biết người sử dụng hoặc có thông tin về người dùng. Tất cả các quá thường xuyên, người sử dụng thông tin rõ ràng (chẳng hạn như tên của con mèo, vợ hoặc chồng của họ) như mật khẩu của họ. Một cách khác là sử dụng sức mạnh vũ phu, cố gắng liệt kê - hoặc tất cả các kết hợp có thể của ký tự mật khẩu hợp lệ (chữ cái, số, dấu chấm câu và trên một số hệ thống) - cho đến khi mật khẩu được tìm thấy. Mật khẩu ngắn đặc biệt dễ bị phương pháp này. Ví dụ, một mật khẩu bốn nhân vật chỉ cung cấp 10.000 biến thể. Trên trung bình, đoán 5.000 lần sẽ tạo ra một hit chính xác. Một chương trình có thể thử một mật khẩu mỗi phần nghìn giây sẽ chỉ mất khoảng 5 giây để đoán một mật khẩu bốn ký tự. Liệt kê là ít thành công mà hệ thống cho phép mật khẩu còn bao gồm cả chữ hoa và chữ thường, cùng với các con số và tất cả các ký tự chấm câu. Tất nhiên, người dùng phải tận dụng lợi thế của không gian lớn và mật khẩu không được, ví dụ, chỉ sử dụng chữ thường.
Ngoài việc được đoán, mật khẩu có thể được thể hiện như là kết quả của giám sát hình ảnh hoặc điện tử. Một kẻ xâm nhập có thể nhìn qua vai của một người sử dụng (vai lướt sóng) khi người dùng đăng nhập và có thể học hỏi các mật khẩu
dễ dàng bằng cách quan sát bàn phím. Ngoài ra, bất cứ ai có quyền truy cập vào mạng mà một máy tính cư trú liên tục có thể thêm một mạng lưới giám sát, cho phép anh ta đánh hơi, hoặc xem, tất cả các dữ liệu được chuyển giao trên mạng, bao gồm cả ID người dùng và mật khẩu. Mã hóa các dòng dữ liệu có chứa mật khẩu giải quyết vấn đề này. Ngay cả một hệ thống như vậy có thể có mật khẩu bị đánh cắp, tuy nhiên. Ví dụ, nếu một tập tin được sử dụng để chứa các mật khẩu, nó có thể được sao chép để phân tích off-hệ thống. Hoặc xem xét một chương trình Trojan cài đặt trên hệ thống để chụp tất cả các tổ hợp phím trước khi gửi nó cho các ứng dụng.
phơi sáng là một vấn đề đặc biệt nghiêm trọng nếu mật khẩu được viết ra, nơi nó có thể được đọc hoặc bị mất. Một số hệ thống buộc người dùng phải chọn mật khẩu khó nhớ hoặc dài, hoặc thay đổi mật khẩu thường xuyên, mà
có thể gây ra một người sử dụng để ghi lại các mật khẩu hoặc tái sử dụng nó. Kết quả là, hệ thống này cung cấp bảo mật ít hơn nhiều so với hệ thống cho phép người dùng lựa chọn mật khẩu dễ dàng!
Các loại cuối cùng của mật khẩu thỏa hiệp, chuyển giao bất hợp pháp, là kết quả của
bản chất con người. Hầu hết các máy tính cài đặt có một quy tắc cấm người dùng
chia sẻ tài khoản. Quy tắc này đôi khi được thực hiện vì lý do kế toán nhưng
thường nhằm cải thiện an ninh. Ví dụ, giả sử một người sử dụng ID được chia sẻ
bởi nhiều người dùng, và vi phạm an ninh xảy ra từ đó ID người dùng. Nó là không thể
biết ai đã sử dụng ID tại thời điểm phá vỡ xảy ra hoặc thậm chí cho dù
người sử dụng là một một ủy quyền. Với một người sử dụng cho mỗi người dùng ID, bất kỳ người dùng có thể
đặt câu hỏi trực tiếp về việc sử dụng tài khoản, ngoài ra, người dùng có thể nhận thấy
một cái gì đó khác nhau về tài khoản và phát hiện đột nhập. Đôi khi,
người sử dụng phá vỡ các quy tắc tài khoản chia sẻ giúp đỡ bạn bè hoặc để phá vỡ kế toán,
và hành vi này có thể dẫn đến một hệ thống bị truy cập trái phép
- có thể những cái có hại.
mật khẩu có thể được, hoặc được tạo ra bởi hệ thống hoặc được lựa chọn bởi người dùng.
Hệ thống mật khẩu được tạo ra có thể khó khăn để nhớ, và do đó người dùng có thể
viết chúng ra. Như đã đề cập, tuy nhiên, mật khẩu người dùng lựa chọn thường
dễ đoán (tên của người sử dụng hoặc yêu thích xe hơi, ví dụ). Một số hệ thống sẽ
kiểm tra một mật khẩu được đề xuất để dễ đoán hay nứt trước khi chấp nhận nó. Một số hệ thống cũng già mật khẩu, buộc người dùng phải thay đổi mật khẩu của họ trong khoảng thời gian thường xuyên (mỗi ba tháng, ví dụ). Phương pháp này là không đơn giản, bởi vì người dùng có thể dễ dàng chuyển đổi giữa hai mật khẩu. Các giải pháp, như thực hiện trên một số hệ thống, là để ghi lại lịch sử một mật khẩu cho mỗi người dùng. Ví dụ, hệ thống có thể ghi lại các mật khẩu N cuối cùng và không cho phép tái sử dụng của họ. Một số biến thể trên các chương trình mật khẩu đơn giản có thể được sử dụng. Ví dụ, mật khẩu có thể được thay đổi thường xuyên hơn. Ở thái cực, mật khẩu được thay đổi từ phiên họp. Một mật khẩu mới được chọn (hoặc bởi hệ thống hoặc bởi người sử dụng) vào cuối mỗi phiên, và mật khẩu phải được sử dụng cho phiên tiếp theo. Trong trường hợp này, ngay cả khi mật khẩu được sử dụng bởi một người không được phép, người đó có thể sử dụng nó chỉ một lần. Khi người sử dụng hợp pháp cố gắng sử dụng một mật khẩu bây giờ không hợp lệ tại kỳ họp tiếp theo, anh phát hiện ra các vi phạm an ninh. Bước sau đó có thể được thực hiện để sửa chữa bảo mật bị vi phạm
Có hai cách phổ biến để đoán mật khẩu. Một cách là cho những kẻ xâm nhập (hoặc con người hay chương trình) cho biết người sử dụng hoặc có thông tin về người dùng. Tất cả các quá thường xuyên, người sử dụng thông tin rõ ràng (chẳng hạn như tên của con mèo, vợ hoặc chồng của họ) như mật khẩu của họ. Một cách khác là sử dụng sức mạnh vũ phu, cố gắng liệt kê - hoặc tất cả các kết hợp có thể của ký tự mật khẩu hợp lệ (chữ cái, số, dấu chấm câu và trên một số hệ thống) - cho đến khi mật khẩu được tìm thấy. Mật khẩu ngắn đặc biệt dễ bị phương pháp này. Ví dụ, một mật khẩu bốn nhân vật chỉ cung cấp 10.000 biến thể. Trên trung bình, đoán 5.000 lần sẽ tạo ra một hit chính xác. Một chương trình có thể thử một mật khẩu mỗi phần nghìn giây sẽ chỉ mất khoảng 5 giây để đoán một mật khẩu bốn ký tự. Liệt kê là ít thành công mà hệ thống cho phép mật khẩu còn bao gồm cả chữ hoa và chữ thường, cùng với các con số và tất cả các ký tự chấm câu. Tất nhiên, người dùng phải tận dụng lợi thế của không gian lớn và mật khẩu không được, ví dụ, chỉ sử dụng chữ thường.
Ngoài việc được đoán, mật khẩu có thể được thể hiện như là kết quả của giám sát hình ảnh hoặc điện tử. Một kẻ xâm nhập có thể nhìn qua vai của một người sử dụng (vai lướt sóng) khi người dùng đăng nhập và có thể học hỏi các mật khẩu
dễ dàng bằng cách quan sát bàn phím. Ngoài ra, bất cứ ai có quyền truy cập vào mạng mà một máy tính cư trú liên tục có thể thêm một mạng lưới giám sát, cho phép anh ta đánh hơi, hoặc xem, tất cả các dữ liệu được chuyển giao trên mạng, bao gồm cả ID người dùng và mật khẩu. Mã hóa các dòng dữ liệu có chứa mật khẩu giải quyết vấn đề này. Ngay cả một hệ thống như vậy có thể có mật khẩu bị đánh cắp, tuy nhiên. Ví dụ, nếu một tập tin được sử dụng để chứa các mật khẩu, nó có thể được sao chép để phân tích off-hệ thống. Hoặc xem xét một chương trình Trojan cài đặt trên hệ thống để chụp tất cả các tổ hợp phím trước khi gửi nó cho các ứng dụng.
phơi sáng là một vấn đề đặc biệt nghiêm trọng nếu mật khẩu được viết ra, nơi nó có thể được đọc hoặc bị mất. Một số hệ thống buộc người dùng phải chọn mật khẩu khó nhớ hoặc dài, hoặc thay đổi mật khẩu thường xuyên, mà
có thể gây ra một người sử dụng để ghi lại các mật khẩu hoặc tái sử dụng nó. Kết quả là, hệ thống này cung cấp bảo mật ít hơn nhiều so với hệ thống cho phép người dùng lựa chọn mật khẩu dễ dàng!
Các loại cuối cùng của mật khẩu thỏa hiệp, chuyển giao bất hợp pháp, là kết quả của
bản chất con người. Hầu hết các máy tính cài đặt có một quy tắc cấm người dùng
chia sẻ tài khoản. Quy tắc này đôi khi được thực hiện vì lý do kế toán nhưng
thường nhằm cải thiện an ninh. Ví dụ, giả sử một người sử dụng ID được chia sẻ
bởi nhiều người dùng, và vi phạm an ninh xảy ra từ đó ID người dùng. Nó là không thể
biết ai đã sử dụng ID tại thời điểm phá vỡ xảy ra hoặc thậm chí cho dù
người sử dụng là một một ủy quyền. Với một người sử dụng cho mỗi người dùng ID, bất kỳ người dùng có thể
đặt câu hỏi trực tiếp về việc sử dụng tài khoản, ngoài ra, người dùng có thể nhận thấy
một cái gì đó khác nhau về tài khoản và phát hiện đột nhập. Đôi khi,
người sử dụng phá vỡ các quy tắc tài khoản chia sẻ giúp đỡ bạn bè hoặc để phá vỡ kế toán,
và hành vi này có thể dẫn đến một hệ thống bị truy cập trái phép
- có thể những cái có hại.
mật khẩu có thể được, hoặc được tạo ra bởi hệ thống hoặc được lựa chọn bởi người dùng.
Hệ thống mật khẩu được tạo ra có thể khó khăn để nhớ, và do đó người dùng có thể
viết chúng ra. Như đã đề cập, tuy nhiên, mật khẩu người dùng lựa chọn thường
dễ đoán (tên của người sử dụng hoặc yêu thích xe hơi, ví dụ). Một số hệ thống sẽ
kiểm tra một mật khẩu được đề xuất để dễ đoán hay nứt trước khi chấp nhận nó. Một số hệ thống cũng già mật khẩu, buộc người dùng phải thay đổi mật khẩu của họ trong khoảng thời gian thường xuyên (mỗi ba tháng, ví dụ). Phương pháp này là không đơn giản, bởi vì người dùng có thể dễ dàng chuyển đổi giữa hai mật khẩu. Các giải pháp, như thực hiện trên một số hệ thống, là để ghi lại lịch sử một mật khẩu cho mỗi người dùng. Ví dụ, hệ thống có thể ghi lại các mật khẩu N cuối cùng và không cho phép tái sử dụng của họ. Một số biến thể trên các chương trình mật khẩu đơn giản có thể được sử dụng. Ví dụ, mật khẩu có thể được thay đổi thường xuyên hơn. Ở thái cực, mật khẩu được thay đổi từ phiên họp. Một mật khẩu mới được chọn (hoặc bởi hệ thống hoặc bởi người sử dụng) vào cuối mỗi phiên, và mật khẩu phải được sử dụng cho phiên tiếp theo. Trong trường hợp này, ngay cả khi mật khẩu được sử dụng bởi một người không được phép, người đó có thể sử dụng nó chỉ một lần. Khi người sử dụng hợp pháp cố gắng sử dụng một mật khẩu bây giờ không hợp lệ tại kỳ họp tiếp theo, anh phát hiện ra các vi phạm an ninh. Bước sau đó có thể được thực hiện để sửa chữa bảo mật bị vi phạm
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- returns a person’s real and login names
- Diminishing deep wrinkles around the eye
- In the receivers of both thermosyphon sy
- Tôi đã học tại trường gần một năm. Và tô
- Port Scanning
- have a sim clean under fimgernail using
- FIGURE 5.23A thermosyphon oil cooling in
- Giờ học và lịch thi
- Port scanning is not an attack but rathe
- make two engaged sims move in together
- Phí tuyển dụng là một tháng rưỡi lương t
- i just checking this,tomorrow will finis
- Specialist Consultants
- no,waiting epoxy this ,fast today night
- Chụp hình ảnh gửi cho tôi trước
- they access a remote account on the pair
- Regional EHS Leaders support all aspects
- yêu cô Jodi sta maria nhất
- have a sims in a house
- zoned out
- 5.24, the entrance to the liquid line th
- engaged
- The difference of the systems in the two
- cháu là người việt nam ...... ước gì chá
