問：黑客是如何破解操作系統(tǒng)密碼的？我如何在我的企業(yè)里防范密碼破解行為的發(fā)生？

答：黑客（或稱為未經(jīng)授權(quán)的用戶）有一系列的方式來破解操作系統(tǒng)密碼。當(dāng)然首先要數(shù)暴利攻擊。在這種情況下，他或她獲取了屏幕系統(tǒng)的認(rèn)證并經(jīng)過反復(fù)的算術(shù)實(shí)驗(yàn)和錯(cuò)誤的洗禮最終得到了密碼（記住：未經(jīng)授權(quán)的用戶同樣需要和密碼配合使用的登錄名稱）。如果系統(tǒng)管理員使用的是容易被猜到的弱密碼，又或者系統(tǒng)管理員沒有改變默認(rèn)密碼（這包括廠商在安裝過程中使用的默認(rèn)密碼），那么這將無疑大大地簡化了入侵者的操作。無論你是否相信，有些時(shí)候用戶的確會將密碼寫下來（一般會放在他們的鍵盤下或放在他們桌子的最上層抽屜里）。

有些系統(tǒng)需要接受廠商遠(yuǎn)程訪問以尋求解決方案和實(shí)施更新，在這些系統(tǒng)中同樣可能會使用默認(rèn)的或常用的密碼。有時(shí)，IT員工會和不同權(quán)限的用戶共享某一密碼，或者在不同的系統(tǒng)下使用相同的密碼。有時(shí)密碼會以固定值的形式寫死在基礎(chǔ)軟件中，這有可能會遭到攻擊（例如目錄同步腳本）。最后，在這樣一個(gè)經(jīng)濟(jì)低迷的時(shí)期，在管理員和其他權(quán)限的用戶（像軟件開發(fā)者）離職之后，如果密碼一直不變的話，他們還是同樣能夠訪問企業(yè)內(nèi)部的系統(tǒng)。這些員工對組織內(nèi)部的運(yùn)作有一個(gè)很清晰的認(rèn)識，有可能會加入針對該組織的惡意攻擊活動。又或者在某些情況下會將敏感數(shù)據(jù)（例如客戶賬戶信息）復(fù)制下來賣出去或者在將來的欺詐活動中加以利用。

那么應(yīng)采取怎樣的策略來阻止操作系統(tǒng)密碼的破解呢？答案集中在安全領(lǐng)域的三個(gè)方面：流程、員工和技術(shù)。保護(hù)系統(tǒng)密碼的策略包括：

對于流程來說（例如政策和進(jìn)程）：

• 改變每個(gè)新的和現(xiàn)有系統(tǒng)中的所有默認(rèn)密碼。

• 不要讓特權(quán)用戶賬戶在不同的系統(tǒng)中使用相同的密碼。

• 經(jīng)常改變密碼（大多數(shù)的組織會在存有敏感數(shù)據(jù)的系統(tǒng)上設(shè)置為每三十天改變一次密碼，而發(fā)生人事變動的時(shí)候也會改變密碼）。

• 嚴(yán)格限定管理訪問的權(quán)限，只將權(quán)限授予那些真正需要訪問的人。

• 千萬不要將系統(tǒng)的密碼寫下來（任何密碼都如此）。

• 不要讓軟件腳本包含系統(tǒng)級別的賬戶或密碼信息。

對于員工來說：

• 為開發(fā)人員創(chuàng)建各自的密碼，按照機(jī)能給他們分配權(quán)限（開發(fā)數(shù)據(jù)庫的員工不需要用于定義內(nèi)容領(lǐng)域的根權(quán)限——即使他們會對這一限定產(chǎn)生爭執(zhí)）。

• 根據(jù)員工的工作情況維護(hù)用戶權(quán)限。（當(dāng)某員工加入了某一特定的項(xiàng)目團(tuán)隊(duì)，你需要基于其角色來創(chuàng)建新的賬戶。當(dāng)他或她的工作發(fā)生變更，這些權(quán)限將不再需要用到時(shí)你需要改變或清除之前為其設(shè)置的權(quán)限。而如果他或她辭職了，你還需要及時(shí)清除所有的權(quán)限。）

• 在允許的情況下，將嘗試登錄認(rèn)證失敗的次數(shù)設(shè)置為一個(gè)特定的值，當(dāng)超過規(guī)定的次數(shù)時(shí)將自動關(guān)閉該賬戶。

• 如果系統(tǒng)中包含高度敏感的信息并且需要最少的系統(tǒng)訪問量，你可以考慮在系統(tǒng)級別的密碼中使用多因素或基于硬件的令牌，并在加密和密匙下保護(hù)好他們。注意：一些公司需要對所有訪問敏感信息的員工設(shè)置多因素認(rèn)證機(jī)制。

• 使用生成的密碼或短語（例如“Philadelphia Phillies是社團(tuán)中最好的棒球隊(duì)”）并且不要局限于字母數(shù)字符號。盡可能使用標(biāo)志來代替用數(shù)字組成的八位字符型密碼。

• 關(guān)閉或斷開任何試圖訪問系統(tǒng)的后門，除非有特殊需要（例如調(diào)制解調(diào)器、Citrix訪問等等）。

• 將敏感系統(tǒng)置于核心業(yè)務(wù)和通信領(lǐng)域之外，并提供物理隔離（給櫥柜、機(jī)房、辦公司上鎖等）。

• 在系統(tǒng)恢復(fù)時(shí)讓所有的備份媒介受到保護(hù)并生效。（作為系統(tǒng)恢復(fù)的一部分，舊的賬戶會被復(fù)原，所以需要確保舊的數(shù)據(jù)中沒有包含舊的認(rèn)證信息。如果真的出現(xiàn)舊的認(rèn)證信息，你需要對其做及時(shí)地更改或刪除操作。）