安全密码的实际效果有多大

ZDNet安全频道原创翻译 转载请注明作者以及出处

对于网络安全来说，安全密码还是不是最好的保护手段?或者包括了入侵/挤压测试功能在内拥有多层控制结构的访问控制模式才意味着真正安全的到来?
--------------------------------------------------------------------------------------------

　　长期以来，我并不支持商业用户采用复杂格式的登陆密码。这主要牵扯到几个方面原因，并不仅仅是因为用户喜欢将复杂格式的密码写下来，并放在让所有人都可以方便看到的地方。这种举动让所谓的安全密码彻底丧失了应该拥有的作用。

　　现在一个新理由也许会让我们对这个问题进行重新考虑......

　　专家声称，一种可以感染公司局域网的复杂计算机蠕虫病毒本周席卷了整个互联网，超过十万台计算机受到了影响。被感染的计算机遍布美国、欧洲和亚洲各地。专家们发现，在微软Windows操作系统环境下发作时，Downadup蠕虫病毒会扫描公司局域网并试图对密码进行猜测，以便登陆公司网络。如果猜测到正确的密码，该蠕虫就可以通过这台计算机感染网络服务器。

　　因此，专家呼吁所有的计算机用户安装微软新发布的安全补丁，并使用更长更复杂的密码，以防止被蠕虫病毒破译。

　　来源：2009年1月18日发表在《网络安全帮助》上的《采用安全补丁和安全密码防范来自Downadup蠕虫病毒的攻击》一文

　　Downadup蠕虫病毒(又名Conficker)利用的是在十月公布的Windows系统漏洞(MS08-067)，来自赛门铁克公司的观点认为它属于低风险级别的病毒。而根据来自F-Secure的分析：

　　该蠕虫病毒感染计算机后，会利用NetServerEnum函数对网络进行扫描，并且利用下面方法尝试登陆所有被发现的联网计算机：

　　1. 使用用户被感染帐户现有的数字证书;但如果该帐户在目标机器中没有系统管理员权限，这个操作将不会成功。

　　2. 利用NetUserEnum函数提供的应用程序编程接口获取目标计算机中的用户列表，接着使用现有用户名和以下密码(具体内容参见F-Secure公司网站上的清单)尝试登陆到目标计算机上。

　　受到Downadup蠕虫病毒控制的机器似乎不会强迫用户安装伪装成为防病毒软件的恶意工具。但受到感染的机器(保守估计现在数量应该在50万到100万台之间)也被强行加入了垃圾邮件的发送中，情况也许还会变得更糟。

　　对于公司用户来说，防范这种攻击，可以从系统和设置两个方面同时下手。下面就提供了几种方法，可以保护公司局域网避免受到类似Downadup之类蠕虫病毒的攻击。

　　1. 补丁、补丁、还是补丁。尽管大多数公司在安装补丁前都会进行测试，但这需要多长时间?或者说，正常情况下，网络管理员安装微软发布MS08-67漏洞的补丁程序需要什么样的周期?这时间，有效的补丁管理程序能够在关键安全补丁发布的时间进行快速反映。为了保证合理的安全水平，并不是需要安装所有的补丁。你可以阅读《群体免疫和安全补丁：多少补丁才意味着真正的安全?》一文。不要因为忽视补丁导致系统出现问题。

　　2. 为了防止来自内部或者外部的黑客获得系统控制权，应该采用密码保护的措施。这包括了：

　　      · 在用户出现三到五次密码错误的登陆操作后锁定帐户

　　      · 以九十天为周期对密码进行强制更新

　　      · 帮助用户了解怎样才能创建安全的密码，并提供工具对密码效果进行测试。

　　3. 限制网络并控制流量。对系统数量进行限制，这样在系统中出现受到感染的迹象时，可以进行控制，不会出现很快蔓延到整个网络的情况。

　　4. 对日志进行管理，以快速发现异常行为。

　　5. 在周边和电子邮件服务器上运行反病毒保护工具进行管理和监控，以保证桌面系统和电子邮件的安全。

　　6. 挤压攻击进行重点监测。

　　7. 针对异常事件的发生过程进行记录并进行处理练习

　　尽管可能还有其它的一些控制方法可供选择，但上面提到的这些应该已经可以很有效地保护公司局域网避免受到类似Downadup之类蠕虫病毒的攻击。我相信，作为多层次安全控制模式里的一个重要组成部分，安全密码在任何情况下都具有不可替代的作用。