口令是網絡系統(tǒng)的第一道防線。當前的網絡系統(tǒng)都是通過口令來驗證用戶身份、實施訪問控制的。口令攻擊是指黑客以口令為攻擊目標，破解合法用戶的口令，或避開口令驗證過程，然后冒充合法用戶潛入目標網絡系統(tǒng)，奪取目標系統(tǒng)控制權的過程。

    如果口令攻擊成功黑客進入了目標網絡系統(tǒng)，他就能夠隨心所欲地竊取、破壞和篡改被侵入方的信息，直至完全控制被侵入方。所以，口令攻擊是黑客實施網絡攻擊的最基本、最重要、最有效的方法之一。

    口令攻擊的主要方法

    1、社會工程學(social Engineering)，通過人際交往這一非技術手段以欺騙、套取的方式來獲得口令。避免此類攻擊的對策是加強用戶意識。

    2、猜測攻擊。首先使用口令猜測程序進行攻擊?？诹畈聹y程序往往根據(jù)用戶定義口令的習慣猜測用戶口令，像名字縮寫、生日、寵物名、部門名等。在詳細了解用戶的社會背景之后，黑客可以列舉出幾百種可能的口令，并在很短的時間內就可以完成猜測攻擊。

    3、字典攻擊。如果猜測攻擊不成功，入侵者會繼續(xù)擴大攻擊范圍，對所有英文單詞進行嘗試，程序將按序取出一個又一個的單詞，進行一次又一次嘗試，直到成功。據(jù)有的傳媒報導，對于一個有8萬個英文單詞的集合來說，入侵者不到一分半鐘就可試完。所以，如果用戶的口令不太長或是單詞、短語，那么很快就會被破譯出來。

    4、窮舉攻擊。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。一般從長度為1的口令開始，按長度遞增進行嘗試攻擊。由于人們往往偏愛簡單易記的口令，窮舉攻擊的成功率很高。如果每千分之一秒檢查一個口令，那么86%的口令可以在一周內破譯出來。

    5、混合攻擊，結合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。

    避免以上四類攻擊的對策是加強口令策略。

    6、直接破解系統(tǒng)口令文件。所有的攻擊都不能夠奏效，入侵者會尋找目標主機的安全漏洞和薄弱環(huán)節(jié)，飼機偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問這臺主機。

    7:網絡嗅探(sniffer)，通過嗅探器在局域網內嗅探明文傳輸?shù)目诹钭址?。避免此類攻擊的對策是網絡傳輸采用加密傳輸?shù)姆绞竭M行。

    8:鍵盤記錄，在目標系統(tǒng)中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會盜取你的口述。

    9:其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時間攻擊。

    避免以上幾類攻擊的對策是加強用戶安全意識，采用安全的密碼系統(tǒng)，注意系統(tǒng)安全，避免感染間諜軟件、木馬等惡意程序。

    口令攻擊的防護手段

    要有效防范口令攻擊，我們要選擇一個好口令，并且要注意保護口令的安全。

    1、好口令是防范口令攻擊的最基本、最有效的方法。最好采用字母、數(shù)字、還有標點符號、特殊字符的組合，同時有大小寫字母，長度最好達到8個以上，最好容易記憶，不必把口令寫下來，絕對不要用自己或親友的生日、手機號碼等易于被他人獲知的信息作密碼。
 
    2、注意保護口令安全。不要將口令記在紙上或存儲于計算機文件中;最好不要告訴別人你的口令;不要在不同的系統(tǒng)中使用相同的口令;在輸入口令時應確保無人在身邊窺視;在公共上網場所如網吧等處最好先確認系統(tǒng)是否安全;定期更改口令，至少六個月更改一次，這會使自己遭受口令攻擊的風險降到最低，要永遠不要對自己的口令過于自信。