王鹏

摘 要：计算机密码安全是司法信息安全中一个重要的组成类别。随着互联网技术的高速发展，中国司法体制改革逐渐引领世界新的技术革新，在改革创新中必须依照规范的密码安全理论进行探索和相应保护，才能保证司法信息安全健康发展，才能让中国司法体制改革达到“让人民群众在每一个司法案件中感受到公平正义”。

关键词：强行攻击;HASH算法;SAM文件

计算机密码学是计算机的重要组成部分，也是学习计算机安全和网络安全的必修专业课。计算机密码学科大致分为传统意义的密码与现代技术密码学基本概念;不同分组密码;公钥密码和与公钥密码有关的若干算法;密码学的信息论基础;线性反馈移位寄存器和序列密码;数字签名、Hash函数及算法、各种安全协议及其它和网络的安全保密规则。从这些知识点的拓展上很容易看到计算机密码学非常复杂。掌握密码口令，能够有效的保护计算机自身的数据和账号安全;能够保护防御计算机网络安全，特别是云安全;进一步能够保护强大的国家的安全体系。

信息化技术革新和应用已经实践在司法的各级平台上，以互联网和物联技术通过5G宽带把司法部门办案接口与人民群众个人终端连接在一起，达到网上案件立案、材料送达、合法性验证、审判公开、最终裁决公示等功能，让人们足不出户进行案件透明的参与和审理。在司法部门以互联网法庭的形式开展以后，每个参与方和终端都要有密码方面的验证，这样保障当事人的合法权益，保障司法工作的保密性。下面详细阐述计算机密码原理、操作系统密码防御技术和司法系统中关于密码验证的方式。

计算机网络安全中经常会提到网络攻击和相应的防御技术，大部分的网络攻击者攻击的目的就是服务器的密码，得到了密码，就能操控系统的所有权限。口令的作用就是向系统提供唯一标识个体身份的机制，只给个体所需信息的访问权，从而达到保护敏感信息和个人隐私的作用。虽然口令的出现使登陆系统时的安全性大大提高，但是这又产生了一个很大的问题。如果口令过于简单，容易被人猜解出来;如果过于复杂，用户往往需要把它写下来以防忘记，这种做法也会增加口令的不安全性。当前，计算机用户的口令安全体系是非常脆弱的。

密码口令的安全防御保障是建立在了解攻击者各种破解技术之上的应对措施。理论上，计算机口令破解是入侵一个系统比较常用的方法。获得口令的思路一般有三种：穷举尝试，多次输入密码破解的方法;第二种设法找到存放口令的文件并想法反编译破解;第三种通过其它途径如网络嗅探、木马远程控制或者键盘记录器等获取口令。

针对一般系统登录界面和APP，口令破解有三种方式，分别为词典攻击、强行攻击和组合攻击。词典攻击，顾名思义要有所谓的词典，实际上是一个单词列表文件，以写字板或者记事本的形式存储在软件的安装路劲下。这些单词有的纯粹来自于普通词典中的英文单词，有的则是根据用户的各种信息建立起来的，如用户名字、生日、街道名字、喜欢的动物等。词典的产生可以自编，也可以从互联网上下载最新的实时的词汇。简而言之，词典是根据人们设置自己账号口令的习惯总结出来的常用口令列表文件。

使用一个或多个词典文件，利用里面的单词或者数字列表进行口令猜测的过程，就是词典攻击。大多数用户都会根据自己的喜好或自己所熟知的事物特征来设置口令，因此，密码口令在词典文件中出现的可能性很大。而且词典条目相对较少，在破解速度上也快于穷举法口令攻击。在大多数系统中，和穷举尝试所有的组合相比，词典攻击能在很短的时间内完成。在互联网上资源可以下载许多已经编好的词典，包括外文词典和针对特定类型公司的词典.例如，在一家公司里有很多篮球迷，那么就可以在核心词典中添加一部关于篮球类名词的词典。入侵者经过仔细的研究了解周围的环境，成功破解口令的可能性就会大大的增加。针对词典攻击的特点，从安全的角度来讲，要求系统用户不要从周围环境中派生口令，特别是跟自己身份信息相关的字母数字作为口令。

如果有速度足够快的计算机能尝试字母、数字、特殊字符所有的组合，将最终能破解所有的口令。这种攻击方式叫做强行攻击，也叫做暴力破解。例如使用强行攻击，先从字母a开始，尝试aa、ab、ac等等，然后尝试aaa、aab、aac，数字0到9，字母加数字的组合等。使用强行攻击，基本上是CPU的速度和破解口令的时间上的矛盾。现在的台式机性能增长迅速，口令的破解会随着内存价格的下降和处理器速度的上升而变得越来越容易了。由于带宽的限制，有一种新型的强行攻击叫做分布式暴力破解，入侵者把一个大的破解任务分解成许多小任务，然后利用互联网上的计算机资源来完成这些小任务，加快口令破解的进程。针对强行攻击的防御，应该设置系统登录的次数限制，进行网络的实时监测，对多次尝试访问的连接进行终止访问。

随着技术的发展，现在的密码规则发生了一些变化，系统注册或者APP会要求用户的口令是字母和数字的组合，甚至字母的顺序和大小写也加入了规则中，而这个时候，许多用户就仅仅会在他们的口令后面添加几个数字，例如，把口令从walkman改成walkman123，这样的口令利用组合攻击很有效。组合攻击是在使用词典单词的基础上在单词的后面串接几个字母和数字进行攻击的攻击方式。也可以说组合攻击是使用词典中的单词，但是对单词进行了重组，它介于词典攻击和强行攻击之间。组合攻击是吸收了词典攻击和强行攻击的优点，其特定要求安全工程师能够辨识出来。

司法各级部门办公系统和大部分家庭个人电脑都是微软的windows系统，Windows保存口令文件非常特别。Windows对用户账户的安全管理使用了安全账号管理器（Security Account Manager，简称SAM）的机制。SAM数据库在磁盘上保存在系统路径下，通常是%systemroot%system32＼config＼目录下的sam文件中。该SAM文件一般是不可见的，也是不可读取的。SAM数据库中包含所有组、帐户的信息，包括密码的HASH算法、帐户的SID等。非法访问者在攻入系统后往往渴望知道更多的秘密，而所有的用户信息都是保存在SAM文件中，这样，破解SAM也就是黑客接下来要做的。在对SAM破解之前，我们首先要获取SAM文件，登陆Windows系统后SAM是被锁死的，我们可以用获取备份SAM方法获取SAM文件，非法攻击者通常用相关软件能够根据不同操作系统的位置进行SAM文件的备份和读取，然后利用哈希算法的逆变换进行密码的还原，最终能够得到Windows操作系统的所有用户ID和口令密码。

随着生物技术和计算机模式识别技术的发展，人的生理特征如指纹、掌纹、面孔、声音、虹膜、视网膜等都具有惟一性和稳定性，这使得通过识别用户的这些生理特征来认证用户身份的安全性远高于基于口令的认证方式。系统结合指纹识别、视网膜识别、声音识别等多种生物识别技术，其中以人脸识别技术发展得最为火热。结合个人手机号码的实名制，以人脸识别加以认证，需要多部门通道的一致性。此外，司法系统软件的良好运行和密码机制的保密性和安全性的维护。

参考文献

[1] 《密码学与网络安全》，Atul Kahate著，金名等译，清华大学出版社，2017

[2] 《网络攻防技术与实战：深入理解信息安全防護体系》，郭帆著，清华大学出版社，2018

[3] 《网络与信息安全基础》，王颖 著，电子工业出版社，2019

基金项目：本文系北京政法职业学院2019年度院级教改项目课题JGYB20191102