王鵬

摘?要：計算機(jī)密碼安全是司法信息安全中一個重要的組成類別。隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，中國司法體制改革逐漸引領(lǐng)世界新的技術(shù)革新，在改革創(chuàng)新中必須依照規(guī)范的密碼安全理論進(jìn)行探索和相應(yīng)保護(hù)，才能保證司法信息安全健康發(fā)展，才能讓中國司法體制改革達(dá)到“讓人民群眾在每一個司法案件中感受到公平正義”。

關(guān)鍵詞：強(qiáng)行攻擊;HASH算法;SAM文件

計算機(jī)密碼學(xué)是計算機(jī)的重要組成部分，也是學(xué)習(xí)計算機(jī)安全和網(wǎng)絡(luò)安全的必修專業(yè)課。計算機(jī)密碼學(xué)科大致分為傳統(tǒng)意義的密碼與現(xiàn)代技術(shù)密碼學(xué)基本概念;不同分組密碼;公鑰密碼和與公鑰密碼有關(guān)的若干算法;密碼學(xué)的信息論基礎(chǔ);線性反饋移位寄存器和序列密碼;數(shù)字簽名、Hash函數(shù)及算法、各種安全協(xié)議及其它和網(wǎng)絡(luò)的安全保密規(guī)則。從這些知識點的拓展上很容易看到計算機(jī)密碼學(xué)非常復(fù)雜。掌握密碼口令，能夠有效的保護(hù)計算機(jī)自身的數(shù)據(jù)和賬號安全;能夠保護(hù)防御計算機(jī)網(wǎng)絡(luò)安全，特別是云安全;進(jìn)一步能夠保護(hù)強(qiáng)大的國家的安全體系。

信息化技術(shù)革新和應(yīng)用已經(jīng)實踐在司法的各級平臺上，以互聯(lián)網(wǎng)和物聯(lián)技術(shù)通過5G寬帶把司法部門辦案接口與人民群眾個人終端連接在一起，達(dá)到網(wǎng)上案件立案、材料送達(dá)、合法性驗證、審判公開、最終裁決公示等功能，讓人們足不出戶進(jìn)行案件透明的參與和審理。在司法部門以互聯(lián)網(wǎng)法庭的形式開展以后，每個參與方和終端都要有密碼方面的驗證，這樣保障當(dāng)事人的合法權(quán)益，保障司法工作的保密性。下面詳細(xì)闡述計算機(jī)密碼原理、操作系統(tǒng)密碼防御技術(shù)和司法系統(tǒng)中關(guān)于密碼驗證的方式。

計算機(jī)網(wǎng)絡(luò)安全中經(jīng)常會提到網(wǎng)絡(luò)攻擊和相應(yīng)的防御技術(shù)，大部分的網(wǎng)絡(luò)攻擊者攻擊的目的就是服務(wù)器的密碼，得到了密碼，就能操控系統(tǒng)的所有權(quán)限。口令的作用就是向系統(tǒng)提供唯一標(biāo)識個體身份的機(jī)制，只給個體所需信息的訪問權(quán)，從而達(dá)到保護(hù)敏感信息和個人隱私的作用。雖然口令的出現(xiàn)使登陸系統(tǒng)時的安全性大大提高，但是這又產(chǎn)生了一個很大的問題。如果口令過于簡單，容易被人猜解出來;如果過于復(fù)雜，用戶往往需要把它寫下來以防忘記，這種做法也會增加口令的不安全性。當(dāng)前，計算機(jī)用戶的口令安全體系是非常脆弱的。

密碼口令的安全防御保障是建立在了解攻擊者各種破解技術(shù)之上的應(yīng)對措施。理論上，計算機(jī)口令破解是入侵一個系統(tǒng)比較常用的方法。獲得口令的思路一般有三種：窮舉嘗試，多次輸入密碼破解的方法;第二種設(shè)法找到存放口令的文件并想法反編譯破解;第三種通過其它途徑如網(wǎng)絡(luò)嗅探、木馬遠(yuǎn)程控制或者鍵盤記錄器等獲取口令。

針對一般系統(tǒng)登錄界面和APP，口令破解有三種方式，分別為詞典攻擊、強(qiáng)行攻擊和組合攻擊。詞典攻擊，顧名思義要有所謂的詞典，實際上是一個單詞列表文件，以寫字板或者記事本的形式存儲在軟件的安裝路勁下。這些單詞有的純粹來自于普通詞典中的英文單詞，有的則是根據(jù)用戶的各種信息建立起來的，如用戶名字、生日、街道名字、喜歡的動物等。詞典的產(chǎn)生可以自編，也可以從互聯(lián)網(wǎng)上下載最新的實時的詞匯。簡而言之，詞典是根據(jù)人們設(shè)置自己賬號口令的習(xí)慣總結(jié)出來的常用口令列表文件。

使用一個或多個詞典文件，利用里面的單詞或者數(shù)字列表進(jìn)行口令猜測的過程，就是詞典攻擊。大多數(shù)用戶都會根據(jù)自己的喜好或自己所熟知的事物特征來設(shè)置口令，因此，密碼口令在詞典文件中出現(xiàn)的可能性很大。而且詞典條目相對較少，在破解速度上也快于窮舉法口令攻擊。在大多數(shù)系統(tǒng)中，和窮舉嘗試所有的組合相比，詞典攻擊能在很短的時間內(nèi)完成。在互聯(lián)網(wǎng)上資源可以下載許多已經(jīng)編好的詞典，包括外文詞典和針對特定類型公司的詞典.例如，在一家公司里有很多籃球迷，那么就可以在核心詞典中添加一部關(guān)于籃球類名詞的詞典。入侵者經(jīng)過仔細(xì)的研究了解周圍的環(huán)境，成功破解口令的可能性就會大大的增加。針對詞典攻擊的特點，從安全的角度來講，要求系統(tǒng)用戶不要從周圍環(huán)境中派生口令，特別是跟自己身份信息相關(guān)的字母數(shù)字作為口令。

如果有速度足夠快的計算機(jī)能嘗試字母、數(shù)字、特殊字符所有的組合，將最終能破解所有的口令。這種攻擊方式叫做強(qiáng)行攻擊，也叫做暴力破解。例如使用強(qiáng)行攻擊，先從字母a開始，嘗試aa、ab、ac等等，然后嘗試aaa、aab、aac，數(shù)字0到9，字母加數(shù)字的組合等。使用強(qiáng)行攻擊，基本上是CPU的速度和破解口令的時間上的矛盾。現(xiàn)在的臺式機(jī)性能增長迅速，口令的破解會隨著內(nèi)存價格的下降和處理器速度的上升而變得越來越容易了。由于帶寬的限制，有一種新型的強(qiáng)行攻擊叫做分布式暴力破解，入侵者把一個大的破解任務(wù)分解成許多小任務(wù)，然后利用互聯(lián)網(wǎng)上的計算機(jī)資源來完成這些小任務(wù)，加快口令破解的進(jìn)程。針對強(qiáng)行攻擊的防御，應(yīng)該設(shè)置系統(tǒng)登錄的次數(shù)限制，進(jìn)行網(wǎng)絡(luò)的實時監(jiān)測，對多次嘗試訪問的連接進(jìn)行終止訪問。

隨著技術(shù)的發(fā)展，現(xiàn)在的密碼規(guī)則發(fā)生了一些變化，系統(tǒng)注冊或者APP會要求用戶的口令是字母和數(shù)字的組合，甚至字母的順序和大小寫也加入了規(guī)則中，而這個時候，許多用戶就僅僅會在他們的口令后面添加幾個數(shù)字，例如，把口令從walkman改成walkman123，這樣的口令利用組合攻擊很有效。組合攻擊是在使用詞典單詞的基礎(chǔ)上在單詞的后面串接幾個字母和數(shù)字進(jìn)行攻擊的攻擊方式。也可以說組合攻擊是使用詞典中的單詞，但是對單詞進(jìn)行了重組，它介于詞典攻擊和強(qiáng)行攻擊之間。組合攻擊是吸收了詞典攻擊和強(qiáng)行攻擊的優(yōu)點，其特定要求安全工程師能夠辨識出來。

司法各級部門辦公系統(tǒng)和大部分家庭個人電腦都是微軟的windows系統(tǒng)，Windows保存口令文件非常特別。Windows對用戶賬戶的安全管理使用了安全賬號管理器（Security Account Manager，簡稱SAM）的機(jī)制。SAM數(shù)據(jù)庫在磁盤上保存在系統(tǒng)路徑下，通常是%systemroot%system32＼config＼目錄下的sam文件中。該SAM文件一般是不可見的，也是不可讀取的。SAM數(shù)據(jù)庫中包含所有組、帳戶的信息，包括密碼的HASH算法、帳戶的SID等。非法訪問者在攻入系統(tǒng)后往往渴望知道更多的秘密，而所有的用戶信息都是保存在SAM文件中，這樣，破解SAM也就是黑客接下來要做的。在對SAM破解之前，我們首先要獲取SAM文件，登陸Windows系統(tǒng)后SAM是被鎖死的，我們可以用獲取備份SAM方法獲取SAM文件，非法攻擊者通常用相關(guān)軟件能夠根據(jù)不同操作系統(tǒng)的位置進(jìn)行SAM文件的備份和讀取，然后利用哈希算法的逆變換進(jìn)行密碼的還原，最終能夠得到Windows操作系統(tǒng)的所有用戶ID和口令密碼。

隨著生物技術(shù)和計算機(jī)模式識別技術(shù)的發(fā)展，人的生理特征如指紋、掌紋、面孔、聲音、虹膜、視網(wǎng)膜等都具有惟一性和穩(wěn)定性，這使得通過識別用戶的這些生理特征來認(rèn)證用戶身份的安全性遠(yuǎn)高于基于口令的認(rèn)證方式。系統(tǒng)結(jié)合指紋識別、視網(wǎng)膜識別、聲音識別等多種生物識別技術(shù)，其中以人臉識別技術(shù)發(fā)展得最為火熱。結(jié)合個人手機(jī)號碼的實名制，以人臉識別加以認(rèn)證，需要多部門通道的一致性。此外，司法系統(tǒng)軟件的良好運(yùn)行和密碼機(jī)制的保密性和安全性的維護(hù)。

參考文獻(xiàn)

[1]?《密碼學(xué)與網(wǎng)絡(luò)安全》，Atul Kahate著，金名等譯，清華大學(xué)出版社，2017

[2]?《網(wǎng)絡(luò)攻防技術(shù)與實戰(zhàn)：深入理解信息安全防護(hù)體系》，郭帆著，清華大學(xué)出版社，2018

[3]?《網(wǎng)絡(luò)與信息安全基礎(chǔ)》，王穎?著，電子工業(yè)出版社，2019

基金項目：本文系北京政法職業(yè)學(xué)院2019年度院級教改項目課題JGYB20191102