在对用户账户管理的过程中,一个核心任务是如何管理好用户的密码。如果某个用户使用用户账户和密码成功通过了系统的登录认证,那么他之后执行的所有操作都自动具有该用户的权限,如果这个用户属于管理员组,那么他就对整个系统具有完全控制权限。因而,管理好用户账户以及密码是保证系统安全的第一道屏障。
在本篇以及之后的几篇博文中将介绍一系列与用户密码相关的知识,以使大家能够对之有更深一步的了解。
一、 Hash加密算法
Hash是一种在网络安全领域被广泛使用的加密算法。Hash算法,一般被翻译为散列算法,也可直接称之为哈希算法。这种算法非常特殊,它可以将一个任意大小的数据经过散列运算之后,得到一个固定长度的数值(Hash值)。比如我们将一个大小只有10B的文件和一个大小为5GB的文件,分别用Hash算法进行加密,都将得到一个长度为128位或160位的二进制数的Hash值。
另外,Hash算法还有一个特点,那就是散列运算的过程是不可逆的,即我们无法通过Hash值来推导出运算之前的原始数据。
Hash算法的特征归纳起来主要是以下四点:
定长输出:无论原始数据多大,其结果大小一样。
不可逆:无法根据加密后的密文,还原原始数据
输入一样,输出必定一样。
雪崩效应:输入微小改变,将引起结果巨大改变。
前两个特点刚才已经介绍过了,下面我们通过一个具体的操作来体会一下后两个特点,这里要用到一个名为MD5Calculator的小软件,它可以来对指定的文件进行MD5加密。
MD5加密是Hash加密算法的一种具体应用,除了MD5之外,还有一种被广泛采用的同样基于Hash加密的加密算法——SHA1。MD5和SHA1的主要区别是它们所生成的Hash值的长短不同,MD5加密生成的Hash值长度为128位,SHA1加密生成的Hash值长度为160位。
下面随意找一个文件,比如一个word文档,用它来生成Hash值。注意,下图这个文档中最后没有句号。
用软件MD5Calculator对文件进行加密运算,生成Hash值,将其保存下来。
把原先的文件修改一下,在末尾增加一个句号。然后重新计算生成Hash值。
对比可以发现,前后两次的Hash值差别非常大,但是Hash值的长度都是一样的,都是一个32位的十六进制数(即128位的二进制数)。
Hash加密在网络安全领域应用的非常广泛,像在Windows系统以及Linux系统中,都是采用了Hash算法来对用户的密码进行加密。
二、 SAM数据库
在Windows系统中,对用户账户的安全管理采用了SAM(Security Account Manager,安全账号管理)机制,用户账户以及密码经过Hash加密之后,都保存在SAM数据库中。
SAM数据库保存在C:\WINDOWS\system32\config\SAM文件中,当用户登录系统时,首先就要与SAM文件中存放的账户信息进行对比,验证通过方可登录。系统对SAM文件提供了保护机制,无法将其复制或是删除,也无法直接读取其中的内容。
SAM数据库中存放的用户密码信息采用了两种不同的加密机制。对于Windows9x系统,采用的是LM口令散列,对于Windows 2000之后的系统,采用的是NTLM口令散列。LM和NTLM都是基于Hash加密,但是它们的安全机制和安全强度存在差别,LM口令散列的安全性相对比较差。尽管现在已很少有人使用Windows9x系统,但为了保持向后兼容性,默认情况下,系统仍会将用户密码分别用这两种机制加密后存放在SAM数据库里。由于LM使用的加密机制比较脆弱,因而这就为用户密码破解方面带来了一定的安全隐患。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1335216
