信息安全工程实验——口令攻击和钓鱼攻击(自用)
目录
实验目的
实验原理
实验内容
练习1windows口令破解
1、基本操作
2、思考与总结
练习2:QQ 邮箱的钓鱼攻击
1、构造钓鱼页面
2、接收钓鱼所得的账号和密码(分档)
3、实验验证
4、思考与总结
实验目的
(1)能够了解实验规范和实验所需的编程环境
(2)能够理解社会工程学在口令攻击中的作用,掌握设计安全口令的方法
(3)能够掌握钓鱼攻击技术和相应的防范手段
(4)培养公民意识,提高社会责任感,积极向社会普及信息安全知识
实验原理
课程第 2 讲可用性和心理学
实验内容
练习1windows口令破解
字典破解是口令攻击的一种常用方式,是指破解者通过对用户的了解,猜 测其可能使用某些信息作为密码,例如其姓名、生日、电话号码等,同时结合 对密码长度的猜测,利用工具来生成密码破解字典。
1、基本操作
(1)两人一组,相互为对方计算机新增账户并设置密码,并向对方提供一定的提示信息。为了达到实验效果,用户口令不要设置得过于复杂。
(2)根据对方所给的提示,并结合自己日常的了解猜测可能设置的密码, 生成密码字典。
(3)进入实验平台,单击工具栏“字典生成器”按钮,启动“字典生成器”。 选择“生日”标签页,输入的年份与月份信息应尽量包含步骤(1) 中用到的生日日 期,在“生成字典”标签页中确定字典文件存放的路径以及新用户口令位数,最后生成字典文件。
(4)单击工具栏“LC5”按钮,启动 LC5 口令破解工具。选择“Session”(会 话)|“Session Options…”(会话选项)菜单项,在弹出的“Auditing Options For This Session”对话框中选中“Dictionary Crack”项的“Enabled”,取消其它项的 “Enabled”。单击“Dictionary List”(字典列表)按钮,导入步骤(2) 中生成的字 典文件。
返回 LC5 主界面,选择“Session”|“Import…”(导入)菜单项,在弹出的 “Import”对话框中导入本地用户列表,选择“Session”|“Begin Audit”(开始审 计)菜单项,开始字典破解用户口令。
2、思考与总结
(1)总结设计安全口令的因素,以及应如何设计安全的口令。
设计安全口令是保护账户安全的一个重要方面。以下是设计安全口令的因素以及如何设计安全口令的总结:
因素:
复杂度:口令应该足够复杂,以避免被猜测或破解。复杂的口令通常包括大小写字母、数字和符号等元素。
长度:口令长度越长,破解难度越大。因此,应该选择足够长的口令,通常建议至少12个字符。
难以猜测性:口令应该难以被猜测,最好不要使用常见的单词、短语、生日等易于猜测的信息。
难以猜测性:口令应该难以被猜测,最好不要使用常见的单词、短语、生日等易于猜测的信息。
定期更换:定期更换口令可以减少口令被盗用或破解的风险。
如何设计安全口令:
使用随机字符:生成随机密码可以确保口令具有足够的复杂度和难以猜测性。可以使用密码生成器来生成随机密码。
使用短语:使用短语作为口令可以提高复杂度,例如将一句话转换为首字母缩写。
使用密码管理器:使用密码管理器可以方便地生成和管理安全口令,避免使用相同的口令或容易猜测的信息。
避免使用常见的信息:避免使用易于猜测的信息,例如生日、名字、电话号码等。
定期更换:定期更换口令可以减少口令被盗用或破解的风险。建议每三个月更换一次口令。
总之,设计安全口令需要考虑复杂度、长度、难以猜测性以及定期更换等因素。使用随机字符、短语、密码管理器以及避免使用常见信息等方法可以帮助设计安全口令。
练习2:QQ 邮箱的钓鱼攻击
从社会工程学的角度来说,往往由于用户的疏忽大意,不小心访问了错误 的网站,而该网站的页面与正常网站并无差别,用户在输入个人私密信息后, 用户的敏感信息便被非法的窃取。
1、构造钓鱼页面
(1)打开 https://mail.qq.com/,右键快捷菜单保存 QQ 邮箱首页,保存网页的全部内容。
(2)用文本编辑器打开文件夹中的 xlogin.html 文件,定位到登录按钮 (login_button)代码处,为其添加单击事件。同时,在