Windows口令管理的4个误区

出处：techtarget 作者：Kevin Beaver 时间：2005-7-15 21:30:00

　回到我们所知道的互联网的黑暗时代--那时我们还没有这样多的恶意软件威胁和网络应用程序的安全漏洞，强大的口令就是安全解决方案。这种情况在Windows的应用中更是如此。后来，人们发现捕捉和破解Windows NT中的LANMan口令是多么容易。甚至今天，实际上每一个人(IT内部人员和外部人员)似乎对于需要采取什么措施来创建和执行安全的口令都有自己的意见。人们一致的观点是，如果我们至少使用7个至8个大写字母、小写字母、数字和特殊符号组成的口令，我们的口令就是不可破解的。

　　事实并非如此

　　我每一年都要测试相当多的单独的Windows工作站、服务器和域名，以检查容易破解的口令。网络管理员偶尔告诉我说，他们知道每一个人都有一个薄弱的口令，但是大多数人都不知道这个问题是多么普遍。根据我看到的情况，大多数符合“一般可以接受的”要求的口令使用基本的试错法都是可以猜出来。这种微不足道的方法就可以让坏蛋得到丰厚的回报，而且他们被逮住的机会很小。

　　有一些合法的口令向网络管理员与其进行斗争的薄弱口令提出了挑战。许多薄弱的口令都给大多数机构带来了安全风险，让机构措手不久。下面是一些口令管理方面常见的错误，以及根据这些错误提出的增强Windows安全的一两个想法。

　　1.向所有的用户分配口令有助于保护他们工作站的安全

　　这是一个大错误。责任和义务必须置于用户的控制之下。否则，什么能够激励他们做得更好呢?注意，我并没有说口令政策的执行要置于用户的管理之下。这是个不同的问题。安全决策永远不要置于用户的手中。相反，要通过书面的政策、组策略对象或者其它口令管理系统以及正在实施的审计来执行强大的口令。当恶意的或者以前的网络管理员滥用无辜的用户的账户的时候会发生什么事情呢?事后的审计很难解决这个问题。

　　2.严密的物理安全措施能够使系统更安全地防御嗅探器和口令破解器

　　当内部Citrix NFuse Web网站接口、网络应用程序和其它系统与Windows域名账号联系在一起时会发生什么事情呢?原来只是内部问题的口令问题现在对全世界开放了。这是一个影响越来越多的系统的一个大问题。

　　3.高级管理层不能迫使用户记住复杂的口令，因此只能接受一切。

　　我发现的情况是高级管理人员或者企业的高级官员不真正了解这个问题的严重性。他们认为所有的用户都是可以信赖的，没有人能够共享他们的口令，而且当标准用户账号被破解之后也没有很多东西会丢失。

　　下面是暴露这个问题的窍门儿:简单地以基本的用户权限登录，看一下你在共享的网络服务器和工作站中能够看到什么。进行基本的文本搜索，查找“SSN”、“信用卡”、“dob”以及允许用户访问的其它关键词。查询的结果将使许多不相信这种事情的人认识到确实存在安全问题，特别是结合上述安全漏洞进行搜索就更是如此。

　　4.要求用户经常变换口令可保证Windows的安全。

　　这又是一个错误的概念。如果我们记不住新的口令，特别是每隔30、60或者90天就更换多个口令的时候，人类的自然反应会是什么样呢?我们会把这些口令记在纸上。如果用户被迫以安全的名义陷入这种不现实的循环之中，用纸记录下这些口令是很难避免的。这里的解决方案就是创建一个强大的而又很容易记住的口令。如果这些口令没有被其他人共享或者没有被破解，为什么要频繁更换呢?我总是建议人们使用强大的而又很容易记住的口令。

　　只要我们不得不为计算需求使用口令，我认为口令短语是惟一的一个现实的解决方案。根据大写、小写、数字和特殊符号的思路，创建一个口令短语，这种短语很长不容易破解并且很容易记住。一旦你用简单的词汇进行解释并且提供一个很好的口令例子，如“Man, I LOVE hard rock music!”(老兄，我喜欢摇滚乐!)，你的用户和企业官员的眼睛就会为之一亮。这个口令实际上就可以保证安全。

最新专题

Sendmail 邮件系统配置

组建Exchange 2003邮件系统

Windows Server 2008 专题

ORF 反垃圾邮件系统

Exchange Server 2007 专题

分类导航

邮件网络安全

Windows口令管理的4个误区