淺談校園網絡密碼的安全性問題

隨著媒體技術的發展和網絡教學環境的出現，加強網絡安全管理已刻不容緩。由于網絡管理員大都是由學校的教師或管理人員兼任，缺乏足夠的安全意識和防范技術，使得當前各學校網絡管理方面存在著較大的安全隱患，從而給惡意攻擊者帶來可乘之機。

在網絡安全問題上，密碼的安全性問題始終是一個重要環節，不少網絡都是由于密碼泄露而遭到入侵的。在攻擊者對網絡系統的攻擊中，密碼也自然處于首當其沖的位置。

1 密碼選擇的安全性問題

本文所談的網絡密碼，主要是指系統登錄密碼，且更多地指服務器的密碼。作為網絡系統的第一道屏障，網絡密碼對提高系統的安全性有著重要的作用，特別是對于沒有其他安全措施的網絡系統來說，一個安全的密碼幾乎決定了整個網絡的安全，成為網絡系統的唯一防護墻。從理論上說，任何密碼都是不安全的，因為只要給破解者足夠的時間和機會，他們總能用窮舉法將密碼試出。但實際上，破解者使用這種蠻力技術破解密碼是不現實的。系統密碼頻頻被破解的真正原因是用戶選擇了不安全的密碼，所以密碼的安全首先是選擇安全的密碼。

在一次中小學網絡管理員培訓中進行的一項測試中，請100名網絡管理員每人寫出2個密碼，密碼的組成及長度不限，但強調這2個密碼對系統來說非常重要，要求被試者認真考慮填寫。對密碼進行分析后發現，超過一半的密碼是不安全的，可見網絡管理存在著嚴重的安全隱患。

那么選擇什么樣的密碼才足夠安全呢？綜合國內外密碼安全專家的建議以及筆者的經驗，選擇安全密碼應做到：1）密碼的長度一般應在8個字符以上；2）密碼不應只含有字母或數字，還應包括大寫字母、小寫字母、數字、標點符號以及特殊符號，并盡量使用特殊符號，而且這些不同字符應混合排列，而不是簡單地將特殊符號作為前綴或后綴；3）密碼中不能包含用戶的姓名、出生年月、電話等常用信息以及字典中常用的單詞；4）不同場合的密碼不能重復或含有序列關系，以避免密碼被連環破解。

當然，選擇安全的密碼意味著用戶記憶的困難，為避免忘記密碼，必然將它記在某個地方，這又產生了新的安全隱患。筆者曾在一些學校的機房里看到在辦公桌、筆架、甚至計算機上貼有用戶名、密碼的紙條?？梢姡词惯x擇一個別人永遠猜不出的密碼，還是可能通過其他途徑將其泄露出去。所以，密碼選擇的安全性問題首先是一個網絡管理員安全意識的問題。

2 密碼設置的安全性問題

不能認為選擇了一個相對安全的密碼就萬無一失了。為了提高密碼的安全性及抵抗入侵的能力，有必要做一些相關的設置。以下僅給出利用注冊表對密碼進行保護的2個實例，這些并不復雜的設置技巧能加強密碼的安全性能。

1）不顯示登錄窗口中的用戶名。在Windows NT/2000的登錄窗口中，用戶名一欄中一般已填上了某一用戶名稱，這個用戶是上次使用Windows的用戶，這一點方便了登錄者，使他不用再輸入用戶名稱。但也帶來了一些安全問題，如讓他人知道Windows系統中存在這么一個用戶。通過修改注冊表，可以使登錄窗口中不顯示上次使用者的用戶名。方法：啟動注冊表編輯器，打開以下鍵值：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon。選擇右方窗格“DontDisplayLastUserName”的值，設置其值為1即可。

2）禁止用戶更改密碼。在Windows NT/2000中，用戶按“Ctrl-Alt-Delete”組合鍵可以通過更改密碼選項對登錄密碼進行修改。通過修改注冊表，可以禁止普通用戶更改密碼。方法：啟動注冊表編輯器，打開以下鍵值：HKEY_CURRENT USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System。選擇此子鍵分支的右方窗格“DisableChangePassword”的雙字節值，設置其值為1即可。

以上僅舉兩例，借此說明網絡管理員應在平時多注意服務器和重點計算機系統中可能出現的密碼設置漏洞，并將其填補。

3 密碼安全的高級防護措施

上述密碼選擇及設置的安全性問題是每一個細心的網絡管理員都可以做到的，它可以在很大程度上防范普通的網絡攻擊者。但是從長遠考慮，以及為了防范專業黑客的進攻，有必要為校園網提供高級的防護措施，以確保其安全。

1）一次性密碼。一次性密碼是防止密碼被破解的有效方法。每次用戶登錄時密碼就要更改，也就是說，根本沒有密碼可以猜測，缺點是過于復雜。最常見的形式是使用智能卡，另外，軟件SKEY也能建立一次性密碼。

2）用戶身份驗證。在網絡環境下，識別用戶身份比單機復雜，因為大量黑客隨時隨地都可能向網絡滲透，截獲合法用戶冒名頂替，以合法身份入網。為此，每次遠程輸入用戶密碼都應當加密，而且密鑰必須每次都變更，以防止被人截獲后冒名頂替。

3）搜索破解工具。目前，攻擊者會在用戶的計算機系統中或遠程使用一些密碼破解程序進行攻擊，常見的有破解Unix密碼的工具John the Ripper，破解Windows密碼的工具Pwdump、LophtCrack，遠程密碼破解工具流光等。作為一個網絡管理員應該在系統中定期搜索密碼破解工具，以便在其造成破壞之前及時發現并清除掉。

4）使用生物技術。這可能將是未來密碼安全的高級防護措施。采用生物技術作為解決方案，如指紋、手紋、視網膜掃描、語音掃描、手寫簽名等，由于其特征與用戶不分離，使得攻擊者無法偷竊，所以生物技術更加可靠。但是，使用生物技術必須使每臺登錄的計算機都要有認證設備，代價非常昂貴。

作為一名校園網的管理人員，首先要樹立安全意識，學習網絡安全的有關技術，并在平時注意防范，及時查漏補缺，這樣才能確保校園網的安全運行，為學校教學工作的順利進行做好保障。