問：黑客是如何破解操作系統密碼的？我如何在我的企業里防范密碼破解行為的發生？

答：黑客（或稱為未經授權的用戶）有一系列的方式來破解操作系統密碼。當然首先要數暴利攻擊。在這種情況下，他或她獲取了屏幕系統的認證并經過反復的算術實驗和錯誤的洗禮最終得到了密碼（記住：未經授權的用戶同樣需要和密碼配合使用的登錄名稱）。如果系統管理員使用的是容易被猜到的弱密碼，又或者系統管理員沒有改變默認密碼（這包括廠商在安裝過程中使用的默認密碼），那么這將無疑大大地簡化了入侵者的操作。無論你是否相信，有些時候用戶的確會將密碼寫下來（一般會放在他們的鍵盤下或放在他們桌子的最上層抽屜里）。

有些系統需要接受廠商遠程訪問以尋求解決方案和實施更新，在這些系統中同樣可能會使用默認的或常用的密碼。有時，IT員工會和不同權限的用戶共享某一密碼，或者在不同的系統下使用相同的密碼。有時密碼會以固定值的形式寫死在基礎軟件中，這有可能會遭到攻擊（例如目錄同步腳本）。最后，在這樣一個經濟低迷的時期，在管理員和其他權限的用戶（像軟件開發者）離職之后，如果密碼一直不變的話，他們還是同樣能夠訪問企業內部的系統。這些員工對組織內部的運作有一個很清晰的認識，有可能會加入針對該組織的惡意攻擊活動。又或者在某些情況下會將敏感數據（例如客戶賬戶信息）復制下來賣出去或者在將來的欺詐活動中加以利用。

那么應采取怎樣的策略來阻止操作系統密碼的破解呢？答案集中在安全領域的三個方面：流程、員工和技術。保護系統密碼的策略包括：

對于流程來說（例如政策和進程）：

• 改變每個新的和現有系統中的所有默認密碼。

• 不要讓特權用戶賬戶在不同的系統中使用相同的密碼。

• 經常改變密碼（大多數的組織會在存有敏感數據的系統上設置為每三十天改變一次密碼，而發生人事變動的時候也會改變密碼）。

• 嚴格限定管理訪問的權限，只將權限授予那些真正需要訪問的人。

• 千萬不要將系統的密碼寫下來（任何密碼都如此）。

• 不要讓軟件腳本包含系統級別的賬戶或密碼信息。

對于員工來說：

• 為開發人員創建各自的密碼，按照機能給他們分配權限（開發數據庫的員工不需要用于定義內容領域的根權限——即使他們會對這一限定產生爭執）。

• 根據員工的工作情況維護用戶權限。（當某員工加入了某一特定的項目團隊，你需要基于其角色來創建新的賬戶。當他或她的工作發生變更，這些權限將不再需要用到時你需要改變或清除之前為其設置的權限。而如果他或她辭職了，你還需要及時清除所有的權限。）

• 在允許的情況下，將嘗試登錄認證失敗的次數設置為一個特定的值，當超過規定的次數時將自動關閉該賬戶。

• 如果系統中包含高度敏感的信息并且需要最少的系統訪問量，你可以考慮在系統級別的密碼中使用多因素或基于硬件的令牌，并在加密和密匙下保護好他們。注意：一些公司需要對所有訪問敏感信息的員工設置多因素認證機制。

• 使用生成的密碼或短語（例如“Philadelphia Phillies是社團中最好的棒球隊”）并且不要局限于字母數字符號。盡可能使用標志來代替用數字組成的八位字符型密碼。

• 關閉或斷開任何試圖訪問系統的后門，除非有特殊需要（例如調制解調器、Citrix訪問等等）。

• 將敏感系統置于核心業務和通信領域之外，并提供物理隔離（給櫥柜、機房、辦公司上鎖等）。

• 在系統恢復時讓所有的備份媒介受到保護并生效。（作為系統恢復的一部分，舊的賬戶會被復原，所以需要確保舊的數據中沒有包含舊的認證信息。如果真的出現舊的認證信息，你需要對其做及時地更改或刪除操作。）