发生在身边“身份冒用”
但传统的基于密码体系的认证系统经常会遭受到暴力破解、木马盗取、网络监听(中间人攻击)的困扰,可谓危机四伏,四面楚歌。很多网管员都熟悉一些安全工具和技术,这些主要是针对密码进行的防范技术。比如获得Windows系统一定的访问权限,需要“从Guest→Administrator→SYSTEM”。所以很多管理员用一些系统的安全策略来控制访问用户,比如密码复杂性策略、账户锁定策略等。
但最近一位朋友告诉我:“他在Joel Scambray(微软公司的MSN网站的高级安全主管)的大作中找到了一篇窃听Windows身份验证过程的文章,并按照另外一个黑客提供线索,成功地破解了一个域管理员帐户的复杂性密码,并在ISA SERVER(代理防火墙服务器)上提升自己客户端的权限,肆无忌惮的下载HDTV电影。”我按照他的方法做了一个实验,居然也能成功,愕然。
