大多數密碼破解工具使用相同的邏輯作為獲取密碼的基礎。首先,攻擊者必須獲取密碼哈希。密碼哈希是一種數學算法,用于將密碼轉換為字母數字字符串,而字母數字字符串不能恢復為密碼。此哈希是由操作系統生成的。哈希存儲在ActiveDirectory數據庫中,當用戶登錄時,也存儲在客戶端計算機上的安全數據庫中。當用戶獲得對整個網絡資源的訪問權限時,需要哈希對用戶進行身份驗證。
攻擊者可以從ActiveDirectory數據庫、本地客戶端計算機或身份驗證數據包獲取哈希。其次,選擇一組字符,從中計算散列。這組字符可以從字典中選擇,也可以通過指定參數(如字符、最小密碼長度和最大密碼長度)來選擇。最后,將第一步得到的散列與第二步生成的散列進行比較。如果散列匹配,則密碼稱為生成匹配散列的字符集。
近年來攻擊類型主要有以下幾種:
字典攻擊
字典攻擊將字典文件中的一組單詞列表作為黑客攻擊的基礎。黑客詞典通常使用普通語言詞典和使用字符替換的附加詞。
暴力攻擊
暴力攻擊使用一個邏輯字符序列來開發散列,然后將其與獲得的密碼散列進行比較。暴力攻擊不是使用字典攻擊之類的單詞列表,而是使用每個可能的字符組合,并使用指定長度的字符。
彩虹表攻擊
彩虹表攻擊不是每次都花時間生成相同的散列,而是緩存散列。現在,不需要花時間來開發散列,只需將散列表與捕獲的散列進行簡單的比較。
了解這些模式后,攻擊者可以利用這些模式進行攻擊,從而減少破解密碼所需的時間。
密碼策略
操作系統的密碼策略包含用戶在創建密碼時必須遵守的控件。例如,密碼必須具有最小字符數和最大字符數。密碼策略的組成應有助于防御已知的密碼攻擊以及其散列的漏洞。
大多數密碼策略解決方案和實現沒有足夠的控制來防止已知密碼攻擊,原因通常是終端用戶的限制。長、強、復雜的密碼不是大多數用戶每天都愿意和能夠處理的。作為一種妥協,公司允許用戶輸入短的、弱的和有些復雜的密碼。這些密碼通常很容易破解。
ADSelfServicePlus旨在防止最新的密碼攻擊,并使用您當前的ActiveDirectoryOU設計來實施。ADSelfServicePlus對Microsoft密碼策略解決方案進行了增強,允許在單個ActiveDirectory域中增強不同的密碼策略。密碼策略增強功能可與Windows密碼策略設置無縫配合使用,從而增強您所必需的密碼部分。以下是ADSelfServicePlus有關ActiveDirectory用戶密碼的功能:
●單個域中不同的密碼策略增強功能
●提供通過OU中的組成員身份或用戶位置實施
●可以導入詞典來否定這些單詞作為密碼的使用
●密碼模式控制(增量、省略特殊字符、回文等)
●密碼策略通過ADSelfServicePlus的Web門戶和移動應用程序實施
●密碼策略通過Ctrl+Alt+DEL更改密碼屏幕強制執行
ManageEngineADSelfServicePlus中的密碼模式控件為用戶提供安全性,防止使用常見的密碼模式,從而防止常見的密碼攻擊。能夠在單個域中通過用戶組成員或OU分發多個密碼策略。還具備防止字典和密碼模式攻擊的控制功能,以幫助減少針對弱密碼的攻擊。ADSelfServicePlus是一款針對任何ActiveDirectory的易于實施、易于配置、易于管理的安全解決方案。
想了解ADSelfServicePlus更多功能,進入ManageEngine官網下載30天免費試用吧!
https://www.manageengine.cn/products/self-service-password/
