長(zhǎng)期以來(lái)，我并不支持商業(yè)用戶采用復(fù)雜格式的登陸密碼。這主要牽扯到幾個(gè)方面原因，并不僅僅是因?yàn)橛脩粝矚g將復(fù)雜格式的密碼寫下來(lái)，并放在讓所有人都可以方便看到的地方。這種舉動(dòng)讓所謂的安全密碼徹底喪失了應(yīng)該擁有的作用。

現(xiàn)在一個(gè)新理由也許會(huì)讓我們對(duì)這個(gè)問(wèn)題進(jìn)行重新考慮......

專家聲稱，一種可以感染公司局域網(wǎng)的復(fù)雜計(jì)算機(jī)蠕蟲病毒本周席卷了整個(gè)互聯(lián)網(wǎng)，超過(guò)十萬(wàn)臺(tái)計(jì)算機(jī)受到了影響。被感染的計(jì)算機(jī)遍布美國(guó)、歐洲和亞洲各地。專家們發(fā)現(xiàn)，在微軟Windows操作系統(tǒng)環(huán)境下發(fā)作時(shí)，Downadup蠕蟲病毒會(huì)掃描公司局域網(wǎng)并試圖對(duì)密碼進(jìn)行猜測(cè)，以便登陸公司網(wǎng)絡(luò)。如果猜測(cè)到正確的密碼，該蠕蟲就可以通過(guò)這臺(tái)計(jì)算機(jī)感染網(wǎng)絡(luò)服務(wù)器。

因此，專家呼吁所有的計(jì)算機(jī)用戶安裝微軟新發(fā)布的安全補(bǔ)丁，并使用更長(zhǎng)更復(fù)雜的密碼，以防止被蠕蟲病毒破譯。

來(lái)源：2009年1月18日發(fā)表在《網(wǎng)絡(luò)安全幫助》上的《采用安全補(bǔ)丁和安全密碼防范來(lái)自Downadup蠕蟲病毒的攻擊》一文

Downadup蠕蟲病毒(又名Conficker)利用的是在十月公布的Windows系統(tǒng)漏洞(MS08-067)，來(lái)自賽門鐵克公司的觀點(diǎn)認(rèn)為它屬于低風(fēng)險(xiǎn)級(jí)別的病毒。而根據(jù)來(lái)自F-Secure的分析：

該蠕蟲病毒感染計(jì)算機(jī)后，會(huì)利用NetServerEnum函數(shù)對(duì)網(wǎng)絡(luò)進(jìn)行掃描，并且利用下面方法嘗試登陸所有被發(fā)現(xiàn)的聯(lián)網(wǎng)計(jì)算機(jī)：

1. 使用用戶被感染帳戶現(xiàn)有的數(shù)字證書;但如果該帳戶在目標(biāo)機(jī)器中沒(méi)有系統(tǒng)管理員權(quán)限，這個(gè)操作將不會(huì)成功。

2. 利用NetUserEnum函數(shù)提供的應(yīng)用程序編程接口獲取目標(biāo)計(jì)算機(jī)中的用戶列表，接著使用現(xiàn)有用戶名和以下密碼(具體內(nèi)容參見F-Secure公司網(wǎng)站上的清單)嘗試登陸到目標(biāo)計(jì)算機(jī)上。

受到Downadup蠕蟲病毒控制的機(jī)器似乎不會(huì)強(qiáng)迫用戶安裝偽裝成為防病毒軟件的惡意工具。但受到感染的機(jī)器(保守估計(jì)現(xiàn)在數(shù)量應(yīng)該在50萬(wàn)到100萬(wàn)臺(tái)之間)也被強(qiáng)行加入了垃圾郵件的發(fā)送中，情況也許還會(huì)變得更糟。

對(duì)于公司用戶來(lái)說(shuō)，防范這種攻擊，可以從系統(tǒng)和設(shè)置兩個(gè)方面同時(shí)下手。下面就提供了幾種方法，可以保護(hù)公司局域網(wǎng)避免受到類似Downadup之類蠕蟲病毒的攻擊。

1. 補(bǔ)丁、補(bǔ)丁、還是補(bǔ)丁。盡管大多數(shù)公司在安裝補(bǔ)丁前都會(huì)進(jìn)行測(cè)試，但這需要多長(zhǎng)時(shí)間?或者說(shuō)，正常情況下，網(wǎng)絡(luò)管理員安裝微軟發(fā)布MS08-67漏洞的補(bǔ)丁程序需要什么樣的周期?這時(shí)間，有效的補(bǔ)丁管理程序能夠在關(guān)鍵安全補(bǔ)丁發(fā)布的時(shí)間進(jìn)行快速反映。為了保證合理的安全水平，并不是需要安裝所有的補(bǔ)丁。你可以閱讀《群體免疫和安全補(bǔ)丁：多少補(bǔ)丁才意味著真正的安全?》一文。不要因?yàn)楹鲆曆a(bǔ)丁導(dǎo)致系統(tǒng)出現(xiàn)問(wèn)題。

2. 為了防止來(lái)自內(nèi)部或者外部的黑客獲得系統(tǒng)控制權(quán)，應(yīng)該采用密碼保護(hù)的措施。這包括了：

      · 在用戶出現(xiàn)三到五次密碼錯(cuò)誤的登陸操作后鎖定帳戶

      · 以九十天為周期對(duì)密碼進(jìn)行強(qiáng)制更新

      · 幫助用戶了解怎樣才能創(chuàng)建安全的密碼，并提供工具對(duì)密碼效果進(jìn)行測(cè)試。

3. 限制網(wǎng)絡(luò)并控制流量。對(duì)系統(tǒng)數(shù)量進(jìn)行限制，這樣在系統(tǒng)中出現(xiàn)受到感染的跡象時(shí)，可以進(jìn)行控制，不會(huì)出現(xiàn)很快蔓延到整個(gè)網(wǎng)絡(luò)的情況。

4. 對(duì)日志進(jìn)行管理，以快速發(fā)現(xiàn)異常行為。

5. 在周邊和電子郵件服務(wù)器上運(yùn)行反病毒保護(hù)工具進(jìn)行管理和監(jiān)控，以保證桌面系統(tǒng)和電子郵件的安全。

6. 擠壓攻擊進(jìn)行重點(diǎn)監(jiān)測(cè)。

7. 針對(duì)異常事件的發(fā)生過(guò)程進(jìn)行記錄并進(jìn)行處理練習(xí)

盡管可能還有其它的一些控制方法可供選擇，但上面提到的這些應(yīng)該已經(jīng)可以很有效地保護(hù)公司局域網(wǎng)避免受到類似Downadup之類蠕蟲病毒的攻擊。我相信，作為多層次安全控制模式里的一個(gè)重要組成部分，安全密碼在任何情況下都具有不可替代的作用。

【編輯推薦】

1. 中瑞學(xué)者合作提高量子密碼系統(tǒng)安全性
2. 數(shù)據(jù)庫(kù)安全:Oracle密碼文件使用與維護(hù)技巧
3. 跳出迷局 破解無(wú)線局域網(wǎng)的技術(shù)密碼