网络信息安全综合实验任务书2-科院

网络信息安全综合实验

任 务 书

一、 目的与要求

根据实验内容的要求和实验安排，要求学生理解社会工程学的概念、掌握获取敏感信息的方法和提高自我信息保护的意识和方法；理解密码心理学的概念、理解密码特征分析、掌握黑客猜解密码的切入方法，掌握如何提高密码健壮性。

每组1人。

二、 主要内容

著名黑客Kevin Mitnick在上世纪90年代让“黑客社会工程学”这个术语流行了起来，不过这个简单的概念本身（引诱某人去做某事，或者泄露敏感信息）却早有年头了。专家们认为，如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或者攫取利益。

社会工程学(Social Engineering)，一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。它并不能等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样可能会被高明的社会工程学手段损害利益。

作为入侵的第一步，敏感信息搜集已经越来越受到黑客的重视。很多表面上看起来一点用都没有的信息，都会被社会工程学者利用起来进行渗透。熟练的社会工程学使用者都擅长进行信息收集。

学生拟定一个目标人物，比如自己或同学，通过在互联网上使用信息搜集的方法来获取其相关敏感信息。可参考的信息来源：QQ个人资料、QQ空间、查看留言板中的朋友、使用搜索引擎（百度、Google）、微博、微信等。

尝试填写如下表格。

很多著名的黑客破解密码并非用的什么尖端的技术，而只是用到了密码心理学，从用户的心理入手，从细微入手分析用户的信息，分析用户的心理，从而更快的破解出密码。密码心理学如果掌握的好，可以非常快速破解获得用户信息。而对于用户来说，分析黑客猜解密码的切入方法，从而提高密码的强壮性是学习密码心理学攻击的关键所在。

常用的一些密码特征分析如下： 1) 姓名特征

非常不赞成使用，无论是拼音全拼简拼还是英文名，都具有十分高的被猜中概率，非常不安全。 2) 数字特征

这些特征包括生日、电话、员工号码、门牌号码等。 3) 长度特征

长度是另外一个关键特征，过短的密码会很容易被暴力破解（穷举）。一般来讲，应用于关键计算机系统的8位以下的密码都是不推荐的。 4） 密码关联概率

所谓密码关联概率，是指同一个系统管理员在不同应用场所所使用的密码之间相同或者具备某确定规律的概率。不幸的是，大部分人都使用了高度关联的密码。举例来说，一个用户用“Hu73WQ0Oue31Nmvb4”作为自己计算机管理员密码（很高兴的看到，这个用户已经采用了非常安全的密码），但是不幸的是他的疏忽造成了此密码被泄漏，更加不幸的是他在网上银行、网上私人空间等均采用了相同密码——后果是可想而知的。 5） 用户名特征

用户名与密码配对使用，然而这里也有大量玄机。此特征中被猜中概率最高的行为，就是采用了与用户名一样的密码。 6） 有效期特征

许多人懒于定期修改密码。有效期特征是所有特征中非常有趣的一个，它拥有一个时间参数——随着当前密码应用时间的增加，此特征被猜中的概率也在增加。增加的原因可能来自于越来越多的个人信息、习惯被黑客所掌握；也可能是有一台超级计算机正在用穷举法破解你的密码，并预计在一个月后得到结果。 7） 大众密码

“aaa”、“123456”、“abcd”是不是密码呢？是的，而且还被许多人应用着。

黑客猜解密码的基本思路：一般猜解、利用搜索引擎猜解和配合社会工程学猜解。猜解时主要考虑下面的心理原则：

1) 中文拼音 2) 简单数字 3) 生日 4) 形式单一 5) 信息暴露

要求学生根据搜集到相关人物的敏感信息，参考密码特征分析及黑客猜解密码的切入方法，尝试猜解其口令。此过程可自行编程或者借助第三方软件，如字典生成器等。

三、思考题

1. 举出保护个人敏感信息的方法（最少三点）。

2. 如何提高你的密码强壮性，以避免黑客利用密码心理学猜解你的密码？（最少五点）

四、 进度计划

五、 实验成果要求

1． 要求实现任务书要求内容，完成思考题。

2． 完成实验报告，要求格式规范，内容具体而翔实，应体现自身所作的工作，注重对设计思

路的归纳和对问题解决过程的总结。

六、 考核方式

平时成绩+实验验收+实验报告。

学生姓名：

指导教师： 李莉 朵春红

2015 年 12 月 19 日

本文来源：https://www.bwwdw.com/article/40r4.html