如何保護帳號和密碼及建立正確的防毒觀念

 

【旗標技術通訊電子報】88.7.15
             
上週我們介紹了系統安全的觀念和常見的問題,其實還有一些注意事
項亦不可小覷,例如保護帳號和密碼、建立正確的防毒觀念等。所以
錯過本期《系統安全》您只學到一半!
             
本期訊息
============================================================
※書展訊息:全省聯展特價85折,請看 http://www.flag.com.tw
※預購活動:Office 2000 預購活動快截止囉!
※本期書摘:如何保護帳號和密碼及建立正確的防毒觀念
※下期書摘:硬碟基本功
=============================================================
        
※書展訊息:旗標全省聯展七月展開,除了大型連鎖店及電腦賣場外
            ,為了顧及中南部消費者的購書權益,您可以在龍軒、
            諾貝爾、墊腳石等中小型連鎖店也買得到。詳細參展廠
            商請參閱旗標網站 http://www.flag.com.tw
          
※好 康 的:告訴大家一個好消息,不買旗標書,也可以拿旗標贈品
            喔!即日起,歡迎至各大書局索取旗標 Office 2000便
            條紙,送完為止,動作要快!
           
※預購活動:即日起至 7/17,旗標舉辦Office 2000預購活動,內容
            包括:買4本7折、買8本65折,還有送手錶抽汽車等大
            獎等著您喔!超值優惠,錯過這次,您還要等很久...
            詳情請看 http://www.flag.com.tw/o2000

                            
※本期書摘:如何保護帳號和密碼及建立正確的防毒觀念
*************************************************************
      
一、帳號管理原則
         
據經驗顯示, 入侵網路的方式以『盜用帳號與密碼』最為普遍, 所以
如何保護使用者的帳號與密碼, 的確是的系統安全重點。例如在
Windows NT 中,在【網域使用者管理員】中, 執行『原則/帳戶』命
令, 開啟【帳戶原則】視窗,視窗中的設定, 效力及於系統上所有的
帳戶, 而不僅是針對某個特定的帳戶, 如果想要讓系統更安全的話,
就要謹慎地設定, 以下說明每一個項目的用處:
           
§密碼限制
         
    ◎最長密碼期限
      設定使用者密碼的有效期限。如果使用者在限定的期間內沒有
      更改密碼的話, 在到期之後, 系統就會強迫使用者必須先更改
      密碼後才能登入。因為有的使用者實在很懶, 一輩子都不改密
      碼, 這樣子很容易被他人擷取到所用的密碼, 造成系統上的安
      全漏洞。所以儘可能不要選擇【密碼永久正確】, 以免造成系
      統安全的隱憂。
         
    ◎最短密碼期限
      有時為了避免使用者在更改密碼時, 被其身旁的人偷看到, 然
      後趁其不在時馬上偷改其密碼。因此有時系統管理者會設定最
      短密碼期限, 在使用者更改密碼後的限定期限之內, 不能再更
      改密碼。但是預設是【允許立即變更】, 換言之, 只要使用者
      高興的話, 可以一小時內改個 10 次。
             
    ◎最短密碼長度
      這是設定所使用密碼的最短長度。密碼愈短, 欲容易被偵測程
      式測出來, 因此建議限定使用者至少要設定 8 個字元以上的
      密碼, 才比較有保障。若選取【允許空白密碼】選項的話, 就
      是讓使用者可以不設定密碼, 這樣的設定是非常危險的, 應極
      力避免!
               
    ◎密碼唯一性
      密碼唯一性是設定使用者更改密碼時, 能否沿用前幾次用過的
      密碼。選擇【記錄】選項的話, 會發現 NT 的預設值是 5, 也
      就是在更改密碼時, 不能再使用前五次使用過的密碼, 如果再
      設定【密碼有效期限】為三個月, 再偷懶的人也得 15 個月後
      才能用到重複的密碼了。相反地, 若選取【不保存密碼記錄】
      選項, 只要準備兩組密碼輪流使用就夠了, 這樣的安全性當然
      較差了。
              
§帳戶關閉
              
設定使用者登入失敗時, 系統該如何處理。如果選取【帳戶不關閉】
選項, 系統便不做任何處理。但是為了防止他人不斷嘗試、猜測使用
者的密碼, 還是選取【帳戶關閉】選項較好。它就像自動提款機的保
護功能, 當您連續三次輸入錯誤的密碼時, 提款機就會將您的提款卡
給吃掉, 以避免他人盜用您的提款卡。
          
    ◎登入錯誤 x 次後關閉
      設定使用者在連續登入失敗幾次後關閉該帳號, 此時任何人都
      不能使用該帳號登入了。
             
    ◎計數器在 x 分鐘後啟動
      設定連續登入失敗的間隔時間, 預設是 30 分鐘。若前一項設
      為登入錯誤 3 次後關閉, 而此欄位保持預設值, 則使用者在
      30 分鐘內如果有連續 3 次登入失敗的話, 便關閉帳戶;但是
      如果失敗兩次後就停手, 等到過了 30 分鐘, 錯誤計次便重新
      歸零, 於是又有了 3 次機會, 依此類推。
           
    ◎關閉期間
      設定帳號被關閉後的處理動作, 有兩種方式:
          
      □永久(直到系統管理者解除):就是永久關閉, 要等系統管理
        者解除關閉狀態後, 該帳號才能再使用。
      □期間:經過經過多久時間後, 由系統自動解除關閉, 恢復該
        帳號的使用權。
                 
筆者認為選擇第二個選項讓系統自動處理就行了。如果每件事者要系
統管理者親自處理的話, 那就太累了。
             
二、洩漏密碼的途徑
             
§假登入程式
             
在設定了有關帳戶原則的各項參數之後, 還有一點要提醒各位注意。
在系統上有帳號的使用者可以利用程式設計出和 Windows 登入畫面
一模一樣的程式, 以騙取其它人的帳號和密碼, 若是在這個假的登入
程式上輸入帳號和密碼, 它就會將記下所騙到的帳號和密碼, 然後告
訴您輸入錯誤, 要您再試一次。接下來假的登入程式便自動結束, 將
控制權還給作業系統。
                
在 UNIX 的主機上可以很容易做到這一點, 筆者在學校時曾以此方法
收集了不少人的帳號和密碼。在 Windows NT 上要做一個假的登入程
式雖然比較麻煩, 但也不是不可能, 所以我們在登入時要特別小心。
各位可以養成在輸入帳號和密碼之前先按幾下 Enter鍵的習慣, 如此
可避掉大部分假的登入程式。如果再小心一點的話, 可以先輸入錯誤
的帳號和密碼, 第二次再輸入正確的, 因為假的登入程式可能會檢查
各位輸入的帳號或密碼是否為空白。
               
§密碼探測程式
              
NT系統內部在絕大多數情形下, 所儲存與傳送的密碼, 都是經過一個
單向雜湊(Hash)函數所編碼處理過, 完全看不出來原始密碼的模樣
, 而且理論上要逆向還原成原始密碼的機率幾近於零。這些編碼過的
密碼存放在 SAM(Security Account Manager)資料庫內, 一般正常
的程式不會去動到它, 然而在 1977 年, 網路上出現了一個專門用來
探測 NT 密碼的程式-LophtCrack, 它能利用各種可能的密碼, 反覆
模擬 NT 的編碼過程, 並將所編出來的密碼與 SAM資料庫的密碼比對
, 如果兩者相同, 就表示得到了正確的密碼。
              
若您取的密碼是類似『3939889』這種純數字, 或『COMPUTER』這種
有意義的文字, 在 Pentium II 266 級電腦上, LophtCrack 只消數
秒鐘便能破解, 可見其威力不可小歔。關於 LophtCrack 的詳細資料
, 請參觀 http://www.lopht.com 網站。但是初次連上這個網站時,
會出現色情廣告圖片, 別緊張!只要再選取最上面一列
『Looking for  LOPHT.COM』文字, 就會出現真正的首頁畫面。若想
了解破解程式的厲害, 請來 www.lopht.com 逛逛!
             
許多人認為, 要以探測程式破解密碼時, 必定得連線到系統, 所以只
要在【帳戶原則】中嚴格把關, 駭客們就沒機會一再嘗試了。其實不
然, 至少以下兩種方式便能在不驚動系統運作的情形下, 從容悠哉地
執行破解工作:
         
    ◎利用備份檔破解
                  
      雖然先前曾強調備份的重要性, 也建議多做幾份備份資料, 但
      是這也衍生出安全問題。因為這些備份資料中, 也包含了帳戶
      名稱與密碼, 如果流落到駭客手中, 那麼他便可以在自家的電
      腦上, 好整以暇地慢慢破解, 根本不必連接網路。
                  
    ◎利用緊急救援磁片破解
                    
      很意外嗎?應該是救命菩薩的緊急救援磁片, 竟然也會是致命
      漏洞。因為該磁片上也有 SAM 資料,所以從其中仍然能解出帳
      戶名稱與密碼。既然知道了這點, 以後可別把緊急救援磁片到
      處亂放, 否則真的會『不知道自己怎麼死的』。
                
三、電腦病毒
                  
曾幾何時, 電腦病毒開始迅速蔓延, 幾乎每個人都有電腦中毒的經驗
。隨著時間的流逝, 雖然電腦病毒的數目每天仍在增加, 但是掃毒及
防毒的軟體也紛紛出籠, 電腦病毒已不再那麼嚇人。不過由於網際網
路的流行, 電腦病毒又多出了新的傳播管道和新的型態, 現在上網路
也要小心中了電腦病毒。不同的是, 網路病毒除了破壞電腦資料、影
響系統正常運作這些類型之外, 有得甚至會竊取電腦中的資料, 然後
經由檔案和電子郵件散播出去。對於這些電腦病毒, 除了自己平常要
小心, 不執行來路不明的軟體之外, 不妨到以下的站台逛逛, 可看到
相當豐富的防毒、解毒資訊:
           
站台或公司名稱 站台位址
賽門鐵克 http://www.symantec.com/region/tw/
趨勢科技 http://www.trend.com.tw/
金帥資訊 http://www.ggreat.com.tw/
NAI     http://www.nai.com/
聖典科技 http://www.goodpoint.com.tw/chinese.htm
                  
但是雖然有了防毒程式, 還是不可掉以輕心, 因為沒有一個防毒軟體
可以完全過濾所有的病毒, 所以仍舊要記得定期備份, 萬一真的遭到
病毒破壞, 只要將受損的資料備份回來即可。而如果碰到會竊取電腦
資料的病毒, 所造成的傷害就很難估計了。總而言之, 身為系統管理
者, 對於來路不明的軟體, 千萬不要隨便在系統上安裝或執行, 這種
觀念才是最好的防毒之道。
               
************************************************************
以上內容摘自『1999 NT 架站實務』書號:F048 定價:450元
************************************************************
如果您對本期內容有任何意見,請與我們聯絡 service@flag.com.tw
想索取前幾期的電子報內容請至旗標網站下載 http://www.flag.com.tw/
            
                         
本電子報內容未經授權請勿轉載
版權所有人:旗標出版股份有限公司
                     
訂退閱旗標技術通訊電子報
http://www.url.com.tw/ENews/login.asp
                   
好書能增進知識、提高學習效率
卓越的品質是旗標的信念與堅持
http://www.flag.com.tw



----------------------------------
智邦生活館 http://www.url.com.tw